Le règlement général sur la protection des données – RGPD
24 mai 2016
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et
à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la
protection des données).
Print the articleCourriel
Decrease the size of the fontIncrease the size of the font
Modifié par
Rectificatif au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement
général sur la protection des données) JOUE L127 2 du 23/05/2018
Sommaire
CHAPITRE I – Dispositions générales
Article premier – Objet et objectifs
Article 2 – Champ d’application matériel
Article 3 – Champ d’application territorial
Article 4 – Définitions
CHAPITRE II – Principes
Article 5 – Principes relatifs au traitement des données à caractère personnel
Article 6- Licéité du traitement
Article 7 – Conditions applicables au consentement
Article 8 – Conditions applicables au consentement des enfants en ce qui concerne les services
de la société de l’information
Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel
Article 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et
aux infractions
Article 11 – Traitement ne nécessitant pas l’identification
CHAPITRE III – Droits de la personne concernée
Section 1 – Transparence et modalités
Article 12 – Transparence des informations et des communications et modalités de l’exercice des
droits de la personne concernée
Section 2 – Information et accès aux données à caractère personnel
Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées
auprès de la personne concernée
Article 14 – Informations à fournir lorsque les données à caractère personnel n’ont pas été
collectées auprès de la personne concernée
Article 15 – Droit d’accès de la personne concernée
Section 3 – Rectification et effacement
Article 16 – Droit de rectification
Article 17 – Droit à l’effacement («droit à l’oubli»)
Article 18 – Droit à la limitation du traitement
Article 19 – Obligation de notification en ce qui concerne la rectification ou l’effacement de
données à caractère personnel ou la limitation du traitement
Article 20 – Droit à la portabilité des données
Section 4 – Droit d’opposition et prise de décision individuelle automatisée
Article 21 – Droit d’opposition
Article 22 – Décision individuelle automatisée, y compris le profilage
Section 5 – Limitations
Article 23 – Limitations
CHAPITRE IV – Responsable du traitement et sous-traitant
Section 1 – Obligations générales
Article 24 – Responsabilité du responsable du traitement
Article 25 – Protection des données dès la conception et protection des données par défaut
Article 26 – Responsables conjoints du traitement
Article 27 – Représentants des responsables du traitement ou des sous-traitants qui ne sont pas
établis dans l’Union.
Article 28 – Sous-traitant
Article 29 – Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant
Article 30 – Registre des activités de traitement
Article 31 – Coopération avec l’autorité de contrôle
Section 2 – Sécurité des données à caractère personnel
Article 32 – Sécurité du traitement
Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Article 34 – Communication à la personne concernée d’une violation de données à caractère
personnel
Section 3 – Analyse d’impact relative à la protection des donnés et consultation préalable
Article 35 – Analyse d’impact relative à la protection des données
Article 36 – Consultation préalable
Section 4 – Délégué à la protection des données
Article 37 – Désignation du délégué à la protection des données
Article 38 – Fonction du délégué à la protection des données
Article 39 – Missions du délégué à la protection des données
Section 5 – Codes de conduite et certification
Article 40 – Codes de conduite
Article 41 – Suivi des codes de conduite approuvés
Article 42 – Certification
Article 43 – Organismes de certification
CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des
organisations internationales
Article 44 – Principe général applicable aux transferts
Article 45 – Transferts fondés sur une décision d’adéquation
Article 46 – Transferts moyennant des garanties appropriées
Article 47 – Règles d’entreprise contraignantes
Article 48 – Transferts ou divulgations non autorisés par le droit de l’Union
Article 49 – Dérogations pour des situations particulières
Article 50 – Coopération internationale dans le domaine de la protection des données à caractère
personnel
CHAPITRE VI – Autorités de contrôle indépendantes
Section 1 – Statut d’indépendance
Article 51 – Autorité de contrôle
Article 52 – Indépendance
Article 53 – Conditions générales applicables aux membres de l’autorité de contrôle
Article 54 – Règles relatives à l’établissement de l’autorité de contrôle
Section 2 – Compétence, missions et pouvoirs
Article 55 – Compétence
Article 56 – Compétence de l’autorité de contrôle chef de file
Article 57 – Missions
Article 58 – Pouvoirs
Article 59 – Rapports d’activité
CHAPITRE VII – Coopération et cohérence
Section 1 – Coopération
Article 60 – Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle
concernées
Article 61 – Assistance mutuelle
Article 62 – Opérations conjointes des autorités de contrôle
Section 2 – Cohérence
Article 63 – Mécanisme de contrôle de la cohérence
Article 64 – Avis du comité
Article 65 – Règlement des litiges par le comité
Article 66 – Procédure d’urgence
Article 67 – Échange d’informations
Section 3 – Comité européen de la protection des données
Article 68 – Comité européen de la protection des données
Article 69 – Indépendance
Article 70 – Missions du comité
Article 71 – Rapports
Article 72 – Procédure
Article 73 – Président
Article 74 – Missions du président
Article 75 – Secrétariat
Article 76 – Confidentialité
CHAPITRE VIII – Voies de recours, responsabilité et sanctions
Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle
Article 78 – Droit à un recours juridictionnel effectif contre une autorité de contrôle
Article 79 – Droit à un recours juridictionnel effectif contre un responsable du traitement ou un
sous-traitant
Article 80 – Représentation des personnes concernées
Article 81 – Suspension d’une action
Article 82 – Droit à réparation et responsabilité
Article 83 – Conditions générales pour imposer des amendes administratives
Article 84 – Sanctions
CHAPITRE IX – Dispositions relatives à des situations particulières de traitement
Article 85 – Traitement et liberté d’expression et d’information
Article 86 – Traitement et accès du public aux documents officiels
Article 87 – Traitement du numéro d’identification national
Article 88 – Traitement de données dans le cadre des relations de travail
Article 89 – Garanties et dérogations applicables au traitement à des fins archivistiques dans
l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 90 – Obligations de secret
Article 91 – Règles existantes des églises et associations religieuses en matière de protection des
données
CHAPITRE X – Actes délégués et actes d’exécution
Article 92 – Exercice de la délégation
Article 93 – Comité
CHAPITRE XI – Dispositions finales
Article 94 – Abrogation de la directive 95/46/CE
Article 95 – Relation avec la directive 2002/58/CE
Article 96 – Relation avec les accords conclus antérieurement
Article 97 – Rapports de la Commission.
Article 98 – Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données
Article 99 – Entrée en vigueur et application
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen,
vu l’avis du Comité des régions,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)
La protection des personnes physiques à l’égard du traitement des données à caractère
personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits
fondamentaux de l’Union européenne (ci-après dénommée «Charte») et l’article 16, paragraphe 1,
du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la
protection des données à caractère personnel la concernant.
(2)
Les principes et les règles régissant la protection des personnes physiques à l’égard du
traitement des données à caractère personnel les concernant devraient, quelle que soit la
nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits
fondamentaux, en particulier leur droit à la protection des données à caractère personnel. Le
présent règlement vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de
justice et d’une union économique, au progrès économique et social, à la consolidation et à la
convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes
physiques.
(3)
La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la protection des
libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de
traitement et à assurer le libre flux des données à caractère personnel entre les États membres.
(4)
Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le
droit à la protection des données à caractère personnel n’est pas un droit absolu; il doit être
considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits
fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte
tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte,
consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des
communications, la protection des données à caractère personnel, la liberté de pensée, de
conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à
un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et
linguistique.
(5)
L’intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à
une augmentation substantielle des flux transfrontaliers de données à caractère personnel. Les
échanges de données à caractère personnel entre acteurs publics et privés, y compris les
personnes physiques, les associations et les entreprises, se sont intensifiés dans l’ensemble de
l’Union. Le droit de l’Union appelle les autorités nationales des États membres à coopérer et à
échanger des données à caractère personnel, afin d’être en mesure de remplir leurs missions ou
d’accomplir des tâches pour le compte d’une autorité d’un autre État membre.
(6)
L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la
protection des données à caractère personnel. L’ampleur de la collecte et du partage de données
à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux
entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel
comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes
physiques rendent des informations les concernant accessibles publiquement et à un niveau
mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux, et elles
devraient encore faciliter le libre flux des données à caractère personnel au sein de l’Union et leur
transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau
élevé de protection des données à caractère personnel.
(7)
Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans
l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui
permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. Les
personnes physiques devraient avoir le contrôle des données à caractère personnel les
concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes
physiques, les opérateurs économiques et les autorités publiques.
(8)
Lorsque le présent règlement dispose que le droit d’un État membre peut apporter des précisions
ou des limitations aux règles qu’il prévoit, les États membres peuvent intégrer des éléments du
présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour
rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles
s’appliquent.
(9)
Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/
CE n’a pas permis d’éviter une fragmentation de la mise en oeuvre de la protection des données
dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des
risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui
concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et
libertés des personnes physiques, en particulier le droit à la protection des données à caractère
personnel, à l’égard du traitement des données à caractère personnel dans les États membres
peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences
peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de
l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur
incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de
l’existence de divergences dans la mise en oeuvre et l’application de la directive 95/46/CE.
(10)
Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les
obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection
des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait
être équivalent dans tous les États membres. Il convient dès lors d’assurer une application
cohérente et homogène des règles de protection des libertés et droits fondamentaux des
personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble
de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au
respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de
l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser
les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser
davantage l’application des règles du présent règlement. Parallèlement à la législation générale et
horizontale relative à la protection des données mettant en oeuvre la directive 95/46/CE, il existe,
dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui
requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres
une marge de manoeuvre pour préciser ses règles, y compris en ce qui concerne le traitement de
catégories particulières de données à caractère personnel (ci-après dénommées «données
sensibles»). À cet égard, le présent règlement n’exclut pas que le droit des États membres précise
les circonstances des situations particulières de traitement y compris en fixant de manière plus
précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.
(11)
Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de
renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui
effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir,
dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des
règles relatives à la protection des données à caractère personnel et des sanctions équivalentes
pour les violations.
(12)
L’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne donne mandat
au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel ainsi que les règles relatives
à la libre circulation des données à caractère personnel.
(13)
Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de
l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère
personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité
juridique et la transparence aux opérateurs économiques, y compris les micro, petites et
moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même
niveau de droits opposables et d’obligations et de responsabilités pour les responsables du
traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des
données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi
qu’une coopération efficace entre les autorités de contrôle des différents États membres. Pour
que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des
données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés
à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel. Pour tenir compte de la situation particulière des micro, petites et moyennes
entreprises, le présent règlement comporte une dérogation pour les organisations occupant
moins de 250 employés en ce qui concerne la tenue de registres. Les institutions et organes de
l’Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en
considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre
de l’application du présent règlement. Pour définir la notion de micro, petites et moyennes
entreprises, il convient de se baser sur l’article 2 de l’annexe de la recommandation 2003/361/CE
de la Commission.
(14)
La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques,
indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement
de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des
données à caractère personnel qui concernent les personnes morales, et en particulier des
entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les
coordonnées de la personne morale.
(15)
Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques
devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.
Elle devrait s’appliquer aux traitements de données à caractère personnel à l’aide de procédés
automatisés ainsi qu’aux traitements manuels, si les données à caractère personnel sont
contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers
de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne
devraient pas relever du champ d’application du présent règlement.
(16)
Le présent règlement ne s’applique pas à des questions de protection des libertés et droits
fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne
relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la
sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère
personnel par les États membres dans le contexte de leurs activités ayant trait à la politique
étrangère et de sécurité commune de l’Union.
(17)
Le règlement (CE) no 45/2001 du Parlement européen et du Conseil s’applique au traitement des
données à caractère personnel par les institutions, organes et organismes de l’Union. Le
règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement
des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans
le présent règlement et appliqués à la lumière du présent règlement. Pour mettre en place un
cadre de protection des données solide et cohérent dans l’Union, il convient, après l’adoption du
présent règlement, d’apporter les adaptations nécessaires au règlement (CE) no 45/2001 de
manière à ce que celles-ci s’appliquent en même temps que le présent règlement.
(18)
Le présent règlement ne s’applique pas aux traitements de données à caractère personnel
effectués par une personne physique au cours d’activités strictement personnelles ou
domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités
personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un
carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le
cadre de ces activités. Toutefois, le présent règlement s’applique aux responsables du traitement
ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel
pour de telles activités personnelles ou domestiques.
(19)
La protection des personnes physiques à l’égard du traitement des données à caractère
personnel par les autorités compétentes à des fins de prévention et de détection des infractions
pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y
compris la protection contre les menaces pour la sécurité publique et la prévention de telles
menaces et la libre circulation de ces données, fait l’objet d’un acte juridique spécifique de
l’Union. Le présent règlement ne devrait dès lors pas s’appliquer aux activités de traitement
effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités
publiques en vertu du présent règlement devraient, lorsqu’elles sont utilisées à ces fins, être
régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/680 du
Parlement européen et du Conseil. Les États membres peuvent confier à des autorités
compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement
effectuées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de
poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les
menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le
traitement de données à caractère personnel à ces autres fins, pour autant qu’il relève du champ
d’application du droit de l’Union, relève du champ d’application du présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces autorités
compétentes à des fins relevant du champ d’application du présent règlement, les États membres
devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter
l’application des règles du présent règlement. Ces dispositions peuvent déterminer plus
précisément les exigences spécifiques au traitement de données à caractère personnel par ces
autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle,
organisationnelle et administrative de l’État membre concerné. Lorsque le traitement de données
à caractère personnel par des organismes privés relève du champ d’application du présent
règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines
conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation
constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir
des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la
détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de
sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la
prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le
blanchiment d’argent ou des activités des laboratoires de police scientifique.
(20)
Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres
autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les
opérations et procédures de traitement en ce qui concerne le traitement des données à caractère
personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de
contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les
juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du
pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend
des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de
données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient
notamment garantir le respect des règles du présent règlement, sensibiliser davantage les
membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement
et traiter les réclamations concernant ces opérations de traitement de données.
(21)
Le présent règlement s’applique sans préjudice de l’application de la directive 2000/31/CE du
Parlement européen et du Conseil, et notamment du régime de responsabilité des prestataires de
services intermédiaires prévu dans ses articles 12 à 15. Cette directive a pour objectif de
contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services
de la société de l’information entre les États membres.
(22)
Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un
établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union
devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou
non dans l’Union. L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un
dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale
ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard.
(23)
Afin de garantir qu’une personne physique ne soit pas exclue de la protection à laquelle elle a
droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à
des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un
sous-traitant qui n’est pas établi dans l’Union devrait être soumis au présent règlement lorsque
les activités de traitement sont liées à l’offre de biens ou de services à ces personnes, qu’un
paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou soustraitant
offre des biens ou des services à des personnes concernées qui se trouvent dans l’Union,
il y a lieu d’établir s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir
des services à des personnes concernées dans un ou plusieurs États membres de l’Union. Alors
que la simple accessibilité du site internet du responsable du traitement, d’un sous-traitant ou
d’un intermédiaire dans l’Union, d’une adresse électronique ou d’autres coordonnées, ou
l’utilisation d’une langue généralement utilisée dans le pays tiers où le responsable du traitement
est établi ne suffit pas pour établir cette intention, des facteurs tels que l’utilisation d’une langue
ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de
commander des biens et des services dans cette autre langue ou la mention de clients ou
d’utilisateurs qui se trouvent dans l’Union, peuvent indiquer clairement que le responsable du
traitement envisage d’offrir des biens ou des services à des personnes concernées dans l’Union.
(24)
Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans
l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union
devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du
comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de
l’Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du
comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont
suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement
des données à caractère personnel qui consistent en un profilage d’une personne physique, afin
notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences,
ses comportements et ses dispositions d’esprit.
(25)
Lorsque le droit d’un État membre s’applique en vertu du droit international public, le présent
règlement devrait s’appliquer également à un responsable du traitement qui n’est pas établi dans
l’Union, par exemple qui se trouve auprès de la représentation diplomatique ou consulaire d’un
État membre.
(26)
Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information
concernant une personne physique identifiée ou identifiable. Les données à caractère personnel
qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne
physique par le recours à des informations supplémentaires devraient être considérées comme
des informations concernant une personne physique identifiable. Pour déterminer si une personne
physique est identifiable, il convient de prendre en considération l’ensemble des moyens
raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre
personne pour identifier la personne physique directement ou indirectement, tels que le ciblage.
Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une
personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels
que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies
disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu
d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir
les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux
données à caractère personnel rendues anonymes de telle manière que la personne concernée ne
soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au
traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
(27)
Le présent règlement ne s’applique pas aux données à caractère personnel des personnes
décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à
caractère personnel des personnes décédées.
(28)
La pseudonymisation des données à caractère personnel peut réduire les risques pour les
personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs
obligations en matière de protection des données. L’introduction explicite de la pseudonymisation
dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.
(29)
Afin d’encourager la pseudonymisation dans le cadre du traitement des données à caractère
personnel, des mesures de pseudonymisation devraient être possibles chez un même
responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les
mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement
concerné, que le présent règlement est mis en oeuvre, et que les informations supplémentaires
permettant d’attribuer les données à caractère personnel à une personne concernée précise
soient conservées séparément. Le responsable du traitement qui traite les données à caractère
personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du
traitement.
(30)
Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et
protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de
connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par
radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont
combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent
servir à créer des profils de personnes physiques et à identifier ces personnes.
(31)
Les autorités publiques auxquelles des données à caractère personnel sont communiquées
conformément à une obligation légale pour l’exercice de leurs fonctions officielles, telles que les
autorités fiscales et douanières, les cellules d’enquête financière, les autorités administratives
indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la
surveillance des marchés de valeurs mobilières ne devraient pas être considérées comme des
destinataires si elles reçoivent des données à caractère personnel qui sont nécessaires pour
mener une enquête particulière dans l’intérêt général, conformément au droit de l’Union ou au
droit d’un État membre. Les demandes de communication adressées par les autorités publiques
devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et
elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers.
Le traitement des données à caractère personnel par les autorités publiques en question devrait
être effectué dans le respect des règles applicables en matière de protection des données en
fonction des finalités du traitement.
(32)
Le consentement devrait être donné par un acte positif clair par lequel la personne concernée
manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à
caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par
voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une
case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour
des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre
comportement indiquant clairement dans ce contexte que la personne concernée accepte le
traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de
consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement
donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités.
Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble
d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande
introduite par voie électronique, cette demande doit être claire et concise et ne doit pas
inutilement perturber l’utilisation du service pour lequel il est accordé.
(33)
Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à
caractère personnel à des fins de recherche scientifique au moment de la collecte des données.
Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui
concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques
reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir
donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou
de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.
(34)
Les données génétiques devraient être définies comme les données à caractère personnel
relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique,
résultant de l’analyse d’un échantillon biologique de la personne physique en question,
notamment une analyse des chromosomes, de l’acide désoxyribonucléique (ADN) ou de l’acide
ribonucléique (ARN), ou de l’analyse d’un autre élément permettant d’obtenir des informations
équivalentes.
(35)
Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des
données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations
sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela
comprend des informations sur la personne physique collectées lors de l’inscription de cette
personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de
ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil au bénéfice
de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une
personne physique pour l’identifier de manière unique à des fins de santé; des informations
obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y
compris à partir de données génétiques et d’échantillons biologiques; et toute information
concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents
médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée,
indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre
professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.
(36)
L’établissement principal d’un responsable du traitement dans l’Union devrait être le lieu de son
administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens
du traitement des données à caractère personnel soient prises dans un autre établissement du
responsable du traitement dans l’Union, auquel cas cet autre établissement devrait être considéré
comme étant l’établissement principal. L’établissement principal d’un responsable du traitement
dans l’Union devrait être déterminé en fonction de critères objectifs et devrait supposer l’exercice
effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et
aux moyens du traitement dans le cadre d’un dispositif stable. Ce critère ne devrait pas dépendre
du fait que le traitement ait lieu à cet endroit. La présence et l’utilisation de moyens techniques et
de technologies de traitement de données à caractère personnel ou d’activités de traitement ne
constituent pas, en elles-mêmes, un établissement principal et ne sont, dès lors, pas des critères
déterminants pour un établissement principal. L’établissement principal du sous-traitant devrait
être le lieu de son administration centrale dans l’Union ou, s’il ne dispose pas d’une
administration centrale dans l’Union, le lieu où se déroule l’essentiel des activités de traitement
dans l’Union. Lorsque le responsable du traitement et le sous-traitant sont tous deux concernés,
l’autorité de contrôle de l’État membre dans lequel le responsable du traitement a son
établissement principal devrait rester l’autorité de contrôle chef de file compétente, mais l’autorité
de contrôle du sous-traitant devrait être considérée comme étant une autorité de contrôle
concernée et cette autorité de contrôle devrait participer à la procédure de coopération prévue
par le présent règlement. En tout état de cause, les autorités de contrôle du ou des États
membres dans lesquels le sous-traitant a un ou plusieurs établissements ne devraient pas être
considérées comme étant des autorités de contrôle concernées lorsque le projet de décision ne
concerne que le responsable du traitement. Lorsque le traitement est effectué par un groupe
d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré
comme étant l’établissement principal du groupe d’entreprises, excepté lorsque les finalités et les
moyens du traitement sont déterminés par une autre entreprise.
(37)
Un groupe d’entreprises devrait couvrir une entreprise qui exerce le contrôle et ses entreprises
contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres
entreprises du fait, par exemple, de la détention du capital, d’une participation financière ou des
règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des
données à caractère personnel. Une entreprise qui contrôle le traitement de données à caractère
personnel dans des entreprises qui lui sont affiliées devrait être considérée comme formant avec
ces dernières un groupe d’entreprises.
(38)
Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère
personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des
garanties concernées et de leurs droits liés au traitement des données à caractère personnel.
Cette protection spécifique devrait, notamment, s’appliquer à l’utilisation de données à caractère
personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité
ou d’utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de
l’utilisation de services proposés directement à un enfant. Le consentement du titulaire de la
responsabilité parentale ne devrait pas être nécessaire dans le cadre de services de prévention ou
de conseil proposés directement à un enfant.
(39)
Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des
données à caractère personnel concernant des personnes physiques sont collectées, utilisées,
consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront
traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe
de transparence exige que toute information et communication relatives au traitement de ces
données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées
en des termes clairs et simples. Ce principe vaut, notamment, pour les informations
communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les
finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et
transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation
et la communication des données à caractère personnel les concernant qui font l’objet d’un
traitement. Les personnes physiques devraient être informées des risques, règles, garanties et
droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs
droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des
données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la
collecte des données à caractère personnel. Les données à caractère personnel devraient être
adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles
sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit
limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la
finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir
que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient
être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il
y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère
personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel
devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y
compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur
traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.
(40)
Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le
consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par
la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit
de l’Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter
l’obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un
contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à
la demande de la personne concernée.
(41)
Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela
ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée,
sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre
concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et
précise et son application devrait être prévisible pour les justiciables, conformément à la
jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice»)
et de la Cour européenne des droits de l’homme.
(42)
Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du
traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de
traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des
garanties devraient exister afin de garantir que la personne concernée est consciente du
consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une
déclaration de consentement rédigée préalablement par le responsable du traitement devrait être
fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs
et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit
éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement
et les finalités du traitement auquel sont destinées les données à caractère personnel. Le
consentement ne devrait pas être considéré comme ayant été donné librement si la personne
concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou
de retirer son consentement sans subir de préjudice.
(43)
Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas
un fondement juridique valable pour le traitement de données à caractère personnel dans un cas
particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable
du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il
est improbable que le consentement ait été donné librement au vu de toutes les circonstances de
cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un
consentement distinct ne peut pas être donné à différentes opérations de traitement des données
à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un
contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celuici
ne soit pas nécessaire à une telle exécution.
(44)
Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un
contrat ou de l’intention de conclure un contrat.
(45)
Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable
du traitement est soumis ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou
relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit
de l’Union ou dans le droit d’un État membre. Le présent règlement ne requiert pas de disposition
légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour
fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le
responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution
d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Il devrait également
appartenir au droit de l’Union ou au droit d’un État membre de déterminer la finalité du traitement.
Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la
licéité du traitement des données à caractère personnel, établir les spécifications visant à
déterminer le responsable du traitement, le type de données à caractère personnel faisant l’objet
du traitement, les personnes concernées, les entités auxquelles les données à caractère
personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et
d’autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au
droit de l’Union ou au droit d’un État membre de déterminer si le responsable du traitement
exécutant une mission d’intérêt public ou relevant de l’exercice de l’autorité publique devrait être
une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque
l’intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la
protection sociale et la gestion des services de soins de santé, de droit privé, telle qu’une
association professionnelle.
(46)
Le traitement de données à caractère personnel devrait être également considéré comme licite
lorsqu’il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à
celle d’une autre personne physique. Le traitement de données à caractère personnel fondé sur
l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le
traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de
traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les
intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des
fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas
d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine.
(47)
Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du
traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers
peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et
droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes
raisonnables des personnes concernées fondées sur leur relation avec le responsable du
traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation
pertinente et appropriée entre la personne concernée et le responsable du traitement dans des
situations telles que celles où la personne concernée est un client du responsable du traitement
ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet
d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut
raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère
personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits
fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du
responsable du traitement lorsque des données à caractère personnel sont traitées dans des
circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement
ultérieur. Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le
traitement des données à caractère personnel par les autorités publiques, cette base juridique ne
devrait pas s’appliquer aux traitements effectués par des autorités publiques dans
l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement
nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du
responsable du traitement concerné. Le traitement de données à caractère personnel à des fins
de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.
(48)
Les responsables du traitement qui font partie d’un groupe d’entreprises ou d’établissements
affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à
caractère personnel au sein du groupe d’entreprises à des fins administratives internes, y compris
le traitement de données à caractère personnel relatives à des clients ou des employés. Les
principes généraux régissant le transfert de données à caractère personnel, au sein d’un groupe
d’entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause.
(49)
Le traitement de données à caractère personnel dans la mesure strictement nécessaire et
proportionnée aux fins de garantir la sécurité du réseau et des informations, c’est-à-dire la
capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné,
à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la
disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel
conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus
accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d’intervention
en cas d’urgence informatique (CERT), des équipes d’intervention en cas d’incidents de sécurité
informatique (CSIRT), des fournisseurs de réseaux et de services de communications
électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt
légitime du responsable du traitement concerné. Il pourrait s’agir, par exemple, d’empêcher
l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes
malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les
systèmes de communications informatiques et électroniques.
(50)
Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles
les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il
est compatible avec les finalités pour lesquelles les données à caractère personnel ont été
collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la
collecte des données à caractère personnel n’est requise. Si le traitement est nécessaire à
l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est
investi le responsable du traitement, le droit de l’Union ou le droit d’un État membre peut
déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait
être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans
l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait
être considéré comme une opération de traitement licite compatible. La base juridique prévue par
le droit de l’Union ou le droit d’un État membre en ce qui concerne le traitement de données à
caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin
d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les
données à caractère personnel ont été collectées initialement, le responsable du traitement, après
avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte,
entre autres: de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du
contexte dans lequel les données à caractère personnel ont été collectées, en particulier les
attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable
du traitement, quant à l’utilisation ultérieure desdites données; la nature des données à caractère
personnel; les conséquences pour les personnes concernées du traitement ultérieur prévu; et
l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement
ultérieur prévu.
Lorsque la personne concernée a donné son consentement ou que le traitement est fondé sur le
droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et
proportionnée dans une société démocratique pour garantir, en particulier, d’importants objectifs
d’intérêt public général, le responsable du traitement devrait être autorisé à effectuer un
traitement ultérieur des données à caractère personnel indépendamment de la compatibilité des
finalités. En tout état de cause, l’application des principes énoncés dans le présent règlement et,
en particulier, l’information de la personne concernée au sujet de ces autres finalités et de ses
droits, y compris le droit de s’opposer au traitement, devraient être assurées. Le fait, pour le
responsable du traitement, de révéler l’existence d’éventuelles infractions pénales ou de menaces
pour la sécurité publique et de transmettre à une autorité compétente les données à caractère
personnel concernées dans des cas individuels ou dans plusieurs cas relatifs à une même
infraction pénale ou à des mêmes menaces pour la sécurité publique devrait être considéré
comme relevant de l’intérêt légitime du responsable du traitement. Néanmoins, cette transmission
dans l’intérêt légitime du responsable du traitement ou le traitement ultérieur des données à
caractère personnel devrait être interdit lorsque le traitement est incompatible avec une obligation
de confidentialité légale, professionnelle ou toute autre obligation de confidentialité contraignante.
(51)
Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de
vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte
dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et
droits. Ces données à caractère personnel devraient comprendre les données à caractère
personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression
«origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories
tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne
devrait pas systématiquement être considéré comme constituant un traitement de catégories
particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la
définition de données biométriques que lorsqu’elles sont traitées selon un mode technique
spécifique permettant l’identification ou l’authentification unique d’une personne physique. De
telles données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que
celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu
du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la
protection des données visant à adapter l’application des règles du présent règlement en vue de
respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de
l’exercice de l’autorité publique dont est investi le responsable du traitement. Outre les exigences
spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent
règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du
traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de
données à caractère personnel devraient être explicitement prévues, entre autres lorsque la
personne concernée donne son consentement explicite ou pour répondre à des besoins
spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de
certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés
fondamentales.
(52)
Des dérogations à l’interdiction de traiter des catégories particulières de données à caractère
personnel devraient également être autorisées lorsque le droit de l’Union ou le droit d’un État
membre le prévoit, et sous réserve de garanties appropriées, de manière à protéger les données à
caractère personnel et d’autres droits fondamentaux, lorsque l’intérêt public le commande,
notamment le traitement des données à caractère personnel dans le domaine du droit du travail
et du droit de la protection sociale, y compris les retraites, et à des fins de sécurité, de
surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et
d’autres menaces graves pour la santé. Ces dérogations sont possibles à des fins de santé, en ce
compris la santé publique et la gestion des services de soins de santé, en particulier pour assurer
la qualité et l’efficience des procédures de règlement des demandes de prestations et de services
dans le régime d’assurance-maladie, ou à des fins archivistiques dans l’intérêt public, à des fins
de recherche scientifique ou historique ou à des fins statistiques. Une dérogation devrait, en
outre, permettre le traitement de ces données à caractère personnel, si cela est nécessaire aux
fins de la constatation, de l’exercice ou de la défense d’un droit en justice, que ce soit dans le
cadre d’une procédure judiciaire, administrative ou extrajudiciaire.
(53)
Les catégories particulières de données à caractère personnel qui méritent une protection plus
élevée ne devraient être traitées qu’à des fins liées à la santé, lorsque cela est nécessaire pour
atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble,
notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de
protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales
de santé nationales, de ces données, en vue du contrôle de la qualité, de l’information des
gestionnaires et de la supervision générale, au niveau national et local, du système de soins de
santé ou de protection sociale et en vue d’assurer la continuité des soins de santé ou de la
protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance
et d’alerte sanitaires, ou à des fins archivistiques dans l’intérêt public, à des fins de recherche
scientifique ou historique ou à des fins statistiques, sur la base du droit de l’Union ou du droit des
États membres qui doit répondre à un objectif d’intérêt public, ainsi que pour des études menées
dans l’intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors
prévoir des conditions harmonisées pour le traitement des catégories particulières de données à
caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier
lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des
personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union ou le droit
des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger
les droits fondamentaux et les données à caractère personnel des personnes physiques. Les
États membres devraient être autorisés à maintenir ou à introduire des conditions
supplémentaires, y compris des limitations, en ce qui concerne le traitement des données
génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne
devrait pas entraver le libre flux des données à caractère personnel au sein de l’Union lorsque ces
conditions s’appliquent au traitement transfrontalier de ces données.
(54)
Le traitement des catégories particulières de données à caractère personnel peut être nécessaire
pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de
la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et
spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte,
la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement
(CE) no 1338/2008 du Parlement européen et du Conseil, à savoir tous les éléments relatifs à la
santé, à savoir l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur
cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins
de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et
leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la
santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère
personnel soient traitées à d’autres fins par des tiers, tels que les employeurs ou les compagnies
d’assurance et les banques.
(55)
En outre, le traitement de données à caractère personnel par des autorités publiques aux fins de
réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public,
d’associations à caractère religieux officiellement reconnues est effectué pour des motifs d’intérêt
public.
(56)
Lorsque, dans le cadre d’activités liées à des élections, le fonctionnement du système
démocratique dans un État membre requiert que les partis politiques collectent des données à
caractère personnel relatives aux opinions politiques des personnes, le traitement de telles
données peut être autorisé pour des motifs d’intérêt public, à condition que des garanties
appropriées soient prévues.
(57)
Si les données à caractère personnel qu’il traite ne lui permettent pas d’identifier une personne
physique, le responsable du traitement ne devrait pas être tenu d’obtenir des informations
supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition
du présent règlement. Toutefois, le responsable du traitement ne devrait pas refuser des
informations supplémentaires fournies par la personne concernée afin de faciliter l’exercice de
ses droits. L’identification devrait comprendre l’identification numérique d’une personne
concernée, par exemple au moyen d’un mécanisme d’authentification tel que les mêmes
identifiants utilisés par la personne concernée pour se connecter au service en ligne proposé par
le responsable du traitement.
(58)
Le principe de transparence exige que toute information adressée au public ou à la personne
concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes
clairs et simples et, en outre, lorsqu’il y a lieu, illustrée à l’aide d’éléments visuels. Ces
informations pourraient être fournies sous forme électronique, par exemple via un site internet
lorsqu’elles s’adressent au public. Ceci vaut tout particulièrement dans des situations où la
multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile
pour la personne concernée de savoir et de comprendre si des données à caractère personnel la
concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. Les
enfants méritant une protection spécifique, toute information et communication, lorsque le
traitement les concerne, devraient être rédigées en des termes clairs et simples que l’enfant peut
aisément comprendre.
(59)
Des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des
droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas
échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur
rectification ou leur effacement, et l’exercice d’un droit d’opposition. Le responsable du traitement
devrait également fournir les moyens de présenter des demandes par voie électronique, en
particulier lorsque les données à caractère personnel font l’objet d’un traitement électronique. Le
responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne
concernée dans les meilleurs délais et au plus tard dans un délai d’un mois et de motiver sa
réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes.
(60)
Le principe de traitement loyal et transparent exige que la personne concernée soit informée de
l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait
fournir à la personne concernée toute autre information nécessaire pour garantir un traitement
équitable et transparent, compte tenu des circonstances particulières et du contexte dans
lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait
être informée de l’existence d’un profilage et des conséquences de celui-ci. Lorsque les données
à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci
sache également si elle est obligée de fournir ces données à caractère personnel et soit informée
des conséquences auxquelles elle s’expose si elle ne les fournit pas. Ces informations peuvent
être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble,
facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes
sont présentées par voie électronique, elles devraient être lisibles par machine.
(61)
Les informations sur le traitement des données à caractère personnel relatives à la personne
concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle ou,
si les données à caractère personnel sont obtenues d’une autre source, dans un délai raisonnable
en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel
peuvent être légitimement communiquées à un autre destinataire, il convient que la personne
concernée soit informée du moment auquel ces données à caractère personnel sont
communiquées pour la première fois audit destinataire. Lorsqu’il a l’intention de traiter les
données à caractère personnel à des fins autres que celles pour lesquelles elles ont été
collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur,
fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre
information nécessaire. Lorsque l’origine des données à caractère personnel n’a pas pu être
communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des
informations générales devraient être fournies.
(62)
Toutefois, il n’est pas nécessaire d’imposer l’obligation de fournir des informations lorsque la
personne concernée dispose déjà de ces informations, lorsque l’enregistrement ou la
communication des données à caractère personnel est expressément prévu par la loi ou lorsque
la communication d’informations à la personne concernée se révèle impossible ou exigerait des
efforts disproportionnés. Tel pourrait être le cas, notamment, lorsqu’il s’agit d’un traitement à des
fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des
fins statistiques. À cet égard, devraient être pris en considération le nombre de personnes
concernées, l’ancienneté des données, ainsi que les garanties appropriées éventuelles adoptées.
(63)
Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui
ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables,
afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des
personnes concernées d’accéder aux données concernant leur santé, par exemple les données
de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats
d’examens, des avis de médecins traitants et tout traitement ou intervention administrés. En
conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire
communiquer, en particulier, les finalités du traitement des données à caractère personnel, si
possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires
de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement
automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.
Lorsque c’est possible, le responsable du traitement devrait pouvoir donner l’accès à distance à
un système sécurisé permettant à la personne concernée d’accéder directement aux données à
caractère personnel la concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés
d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit
d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser
toute communication d’informations à la personne concernée. Lorsque le responsable du
traitement traite une grande quantité de données relatives à la personne concernée, il devrait
pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données
ou quelles opérations de traitement sa demande porte.
(64)
Le responsable du traitement devrait prendre toutes les mesures raisonnables pour vérifier
l’identité d’une personne concernée qui demande l’accès à des données, en particulier dans le
cadre des services et identifiants en ligne. Un responsable du traitement ne devrait pas conserver
des données à caractère personnel à la seule fin d’être en mesure de réagir à d’éventuelles
demandes.
(65)
Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère
personnel les concernant, et disposer d’un «droit à l’oubli» lorsque la conservation de ces
données constitue une violation du présent règlement ou du droit de l’Union ou du droit d’un État
membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées
devraient avoir le droit d’obtenir que leurs données à caractère personnel soient effacées et ne
soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au
regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière,
lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu’elles
s’opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le
traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent
règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son
consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques
inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère
personnel, en particulier sur l’internet. La personne concernée devrait pouvoir exercer ce droit
nonobstant le fait qu’elle n’est plus un enfant. Toutefois, la conservation ultérieure des données à
caractère personnel devrait être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté
d’expression et d’information, au respect d’une obligation légale, à l’exécution d’une mission
d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du
traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins
archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins
statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice.
(66)
Afin de renforcer le «droit à l’oubli» numérique, le droit à l’effacement devrait également être
étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère
personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données
à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou
reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures
raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris
des mesures techniques afin d’informer les responsables du traitement qui traitent les données à
caractère personnel de la demande formulée par la personne concernée.
(67)
Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister,
entre autres, à déplacer temporairement les données sélectionnées vers un autre système de
traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux
utilisateurs, ou à retirer temporairement les données publiées d’un site internet. Dans les fichiers
automatisés, la limitation du traitement devrait en principe être assurée par des moyens
techniques de façon à ce que les données à caractère personnel ne fassent pas l’objet
d’opérations de traitements ultérieures et ne puissent pas être modifiées. Le fait que le traitement
des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.
(68)
Pour renforcer encore le contrôle qu’elles exercent sur leurs propres données, les personnes
concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l’objet
d’un traitement automatisé, de recevoir les données à caractère personnel les concernant,
qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment
utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du
traitement. Il y a lieu d’encourager les responsables du traitement à mettre au point des formats
interopérables permettant la portabilité des données. Ce droit devrait s’appliquer lorsque la
personne concernée a fourni les données à caractère personnel sur la base de son consentement
ou lorsque le traitement est nécessaire pour l’exécution d’un contrat. Il ne devrait pas s’appliquer
lorsque le traitement est fondé sur un motif légal autre que le consentement ou l’exécution d’un
contrat. De par sa nature même, ce droit ne devrait pas être exercé à l’encontre de responsables
du traitement qui traitent des données à caractère personnel dans l’exercice de leurs missions
publiques. Il ne devrait dès lors pas s’appliquer lorsque le traitement des données à caractère
personnel est nécessaire au respect d’une obligation légale à laquelle le responsable du
traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de
l’autorité publique dont est investi le responsable du traitement. Le droit de la personne
concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne
devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des
systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de
données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les
données à caractère personnel devrait s’entendre sans préjudice des droits et libertés des autres
personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas
porter atteinte au droit de la personne concernée d’obtenir l’effacement de données à caractère
personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas,
notamment, entraîner l’effacement de données à caractère personnel relatives à la personne
concernée qui ont été fournies par celle-ci pour l’exécution d’un contrat, dans la mesure où et
aussi longtemps que ces données à caractère personnel sont nécessaires à l’exécution de ce
contrat. Lorsque c’est techniquement possible, la personne concernée devrait avoir le droit
d’obtenir que les données soient transmises directement d’un responsable du traitement à un
autre.
(69)
Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le
traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de
l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts
légitimes du responsable du traitement ou d’un tiers, les personnes concernées devraient
néanmoins avoir le droit de s’opposer au traitement de toute donnée à caractère personnel en
rapport avec leur situation particulière. Il devrait incomber au responsable du traitement de
prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits
fondamentaux de la personne concernée.
(70)
Lorsque des données à caractère personnel sont traitées à des fins de prospection, la personne
concernée devrait avoir le droit, à tout moment et sans frais, de s’opposer à ce traitement, y
compris le profilage dans la mesure où il est lié à une telle prospection, qu’il s’agisse d’un
traitement initial ou ultérieur. Ce droit devrait être explicitement porté à l’attention de la personne
concernée et présenté clairement et séparément de toute autre information.
(71)
La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut
comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant,
qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques
la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que le rejet
automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne sans
aucune intervention humaine. Ce type de traitement inclut le «profilage» qui consiste en toute
forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects
personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects
concernant le rendement au travail de la personne concernée, sa situation économique, sa santé,
ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa
localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la
personne en question ou qu’il l’affecte de façon similaire de manière significative. Toutefois, la
prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise
lorsqu’elle est expressément autorisée par le droit de l’Union ou le droit d’un État membre auquel
le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes
et l’évasion fiscale conformément aux règles, normes et recommandations des institutions de
l’Union ou des organes de contrôle nationaux, et d’assurer la sécurité et la fiabilité d’un service
fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l’exécution d’un
contrat entre la personne concernée et un responsable du traitement, ou si la personne
concernée a donné son consentement explicite. En tout état de cause, un traitement de ce type
devrait être assorti de garanties appropriées, qui devraient comprendre une information
spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine,
d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce
type d’évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant.
Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte
tenu des circonstances particulières et du contexte dans lesquels les données à caractère
personnel sont traitées, le responsable du traitement devrait utiliser des procédures
mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques
et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent
des erreurs dans les données à caractère personnel soient corrigés et que le risque d’erreur soit
réduit au minimum, sécuriser les données à caractère personnel d’une manière qui tienne compte
des risques susceptibles de peser sur les intérêts et les droits de la personne concernée, et
prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques fondés sur
l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance
syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou tout traitement qui se
traduit par des mesures produisant un tel effet. La prise de décision et le profilage automatisés
fondés sur des catégories particulières de données à caractère personnel ne devraient être
autorisés que dans des conditions spécifiques.
(72)
Le profilage est soumis aux règles du présent règlement régissant le traitement des données à
caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière
de protection des données. Le comité européen de la protection des données établi par le
présent règlement (ci-après dénommé «comité») devrait pouvoir publier des directives à cet
égard.
(73)
Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès
aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au
droit à la portabilité des données, au droit d’opposition, aux décisions fondées sur le profilage,
ainsi qu’à la communication d’une violation de données à caractère personnel à une personne
concernée et à certaines obligations connexes des responsables du traitement peuvent être
imposées par le droit de l’Union ou le droit d’un État membre, dans la mesure nécessaire et
proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la
protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle
ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou
l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité
publique et la prévention de telles menaces ou de manquements à la déontologie des professions
réglementées, et pour garantir d’autres objectifs d’intérêt public importants de l’Union ou d’un
État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État
membre, la tenue de registres publics conservés pour des motifs d’intérêt public général, le
traitement ultérieur de données à caractère personnel archivées pour fournir des informations
spécifiques relatives au comportement politique dans le cadre des régimes des anciens États
totalitaires ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris
la protection sociale, la santé publique et les finalités humanitaires. Il y a lieu que ces limitations
respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde
des droits de l’homme et des libertés fondamentales.
(74)
Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de
données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il
importe, en particulier, que le responsable du traitement soit tenu de mettre en oeuvre des
mesures appropriées et effectives et soit à même de démontrer la conformité des activités de
traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient
tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du
risque que celui-ci présente pour les droits et libertés des personnes physiques.
(75)
Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de
gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible
d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le
traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte
financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par
le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à
tout autre dommage économique ou social important; lorsque les personnes concernées
pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs
données à caractère personnel; lorsque le traitement concerne des données à caractère
personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les
convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des
données concernant la santé ou des données concernant la vie sexuelle ou des données relatives
à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes;
lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la
prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les
préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les
déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur
des données à caractère personnel relatives à des personnes physiques vulnérables, en
particulier les enfants; ou lorsque le traitement porte sur un volume important de données à
caractère personnel et touche un nombre important de personnes concernées.
(76)
Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la
personne concernée en fonction de la nature, de la portée, du contexte et des finalités du
traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si
les opérations de traitement des données comportent un risque ou un risque élevé.
(77)
Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le
responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce
qui concerne l’identification du risque lié au traitement, leur évaluation en termes d’origine, de
nature, de probabilité et de gravité, et l’identification des meilleures pratiques visant à atténuer le
risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de
certifications approuvées et de lignes directrices données par le comité ou d’indications données
par un délégué à la protection des données. Le comité peut également publier des lignes
directrices relatives aux opérations de traitement considérées comme étant peu susceptibles
d’engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les
mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.
(78)
La protection des droits et libertés des personnes physiques à l’égard du traitement des données
à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées
pour garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de
démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des
règles internes et mettre en oeuvre des mesures qui respectent, en particulier, les principes de
protection des données dès la conception et de protection des données par défaut. Ces mesures
pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère
personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la
transparence en ce qui concerne les fonctions et le traitement des données à caractère
personnel, à permettre à la personne concernée de contrôler le traitement des données, à
permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les
améliorer. Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications,
de services et de produits qui reposent sur le traitement de données à caractère personnel ou
traitent des données à caractère personnel pour remplir leurs fonctions, il convient d’inciter les
fabricants de produits, les prestataires de services et les producteurs d’applications à prendre en
compte le droit à la protection des données lors de l’élaboration et de la conception de tels
produits, services et applications et, compte dûment tenu de l’état des connaissances, à
s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter
des obligations qui leur incombent en matière de protection des données. Les principes de
protection des données dès la conception et de protection des données par défaut devraient
également être pris en considération dans le cadre des marchés publics.
(79)
La protection des droits et libertés des personnes concernées, de même que la responsabilité des
responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance
exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition
claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du
traitement détermine les finalités et les moyens du traitement conjointement avec d’autres
responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte
d’un responsable du traitement.
(80)
Lorsqu’un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union traite
des données à caractère personnel de personnes concernées qui se trouvent dans l’Union et que
ses activités de traitement sont liées à l’offre de biens ou de services à ces personnes dans
l’Union, qu’un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la
mesure où celui-ci a lieu au sein de l’Union, il convient que le responsable du traitement ou le
sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n’implique pas
un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou
le traitement de données à caractère personnel relatives à des condamnations pénales et à des
infractions, et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes
physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si
le responsable du traitement est une autorité publique ou un organisme public. Le représentant
devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté
par toute autorité de contrôle. Le représentant devrait être expressément désigné par un mandat
écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne
les obligations qui lui incombent en vertu du présent règlement. La désignation de ce
représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du soustraitant
au titre du présent règlement. Ce représentant devrait accomplir ses tâches
conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris
coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise
pour assurer le respect du présent règlement. Le représentant désigné devrait faire l’objet de
procédures coercitives en cas de non-respect du présent règlement par le responsable du
traitement ou le sous-traitant.
(81)
Afin que les exigences du présent règlement soient respectées dans le cadre d’un traitement
réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier
confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire
appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de
connaissances spécialisées, de fiabilité et de ressources, pour la mise en oeuvre de mesures
techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en
matière de sécurité du traitement. L’application par un sous-traitant d’un code de
conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le
respect des obligations incombant au responsable du traitement. La réalisation d’un traitement
par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de
l’Union ou du droit d’un État membre, liant le sous-traitant au responsable du traitement,
définissant l’objet et la durée du traitement, la nature et les finalités du traitement, le type de
données à caractère personnel et les catégories de personnes concernées, en tenant compte des
tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et
du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le
sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles
types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle
conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la
réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait,
selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère
personnel, à moins que le droit de l’Union ou le droit d’un État membre auquel le sous-traitant est
soumis n’exige la conservation des données à caractère personnel.
(82)
Afin de démontrer qu’il respecte le présent règlement, le responsable du traitement ou le soustraitant
devrait tenir des registres pour les activités de traitement relevant de sa responsabilité.
Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l’autorité de
contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au
contrôle des opérations de traitement.
(83)
Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent
règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques
inhérents au traitement et mette en oeuvre des mesures pour les atténuer, telles que le
chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la
confidentialité, compte tenu de l’état des connaissances et des coûts de mise en oeuvre par
rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de
l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les
risques que présente le traitement de données à caractère personnel, tels que la destruction, la
perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises,
conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de
manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques,
matériels ou un préjudice moral.
(84)
Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont
susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le
responsable du traitement devrait assumer la responsabilité d’effectuer une analyse d’impact
relative à la protection des données pour évaluer, en particulier, l’origine, la nature, la particularité
et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer
les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère
personnel respecte le présent règlement. Lorsqu’il ressort de l’analyse d’impact relative à la
protection des données que les opérations de traitement des données comportent un risque
élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées
compte tenu des techniques disponibles et des coûts liés à leur mise en oeuvre, il convient que
l’autorité de contrôle soit consultée avant que le traitement n’ait lieu.
(85)
Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de
manière appropriée, de causer aux personnes physiques concernées des dommages physiques,
matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère
personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité,
une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une
atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées
par le secret professionnel ou tout autre dommage économique ou social important. En
conséquence, dès que le responsable du traitement apprend qu’une violation de données à
caractère personnel s’est produite, il convient qu’il le notifie à l’autorité de contrôle dans les
meilleurs délais et, lorsque c’est possible, 72 heures au plus tard après en avoir pris
connaissance, à moins qu’il ne puisse démontrer, conformément au principe de responsabilité,
qu’il est peu probable que la violation en question engendre un risque pour les droits et libertés
des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la
notification devrait être assortie des motifs du retard et des informations peuvent être fournies de
manière échelonnée sans autre retard indu.
(86)
Le responsable du traitement devrait communiquer une violation de données à caractère
personnel à la personne concernée dans les meilleurs délais lorsque cette violation est
susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin
qu’elle puisse prendre les précautions qui s’imposent. La communication devrait décrire la nature
de la violation des données à caractère personnel et formuler des recommandations à la
personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles
communications aux personnes concernées soient effectuées aussi rapidement qu’il est
raisonnablement possible et en coopération étroite avec l’autorité de contrôle, dans le respect
des directives données par celle-ci ou par d’autres autorités compétentes, telles que les autorités
répressives. Par exemple, la nécessité d’atténuer un risque immédiat de dommage pourrait
justifier d’adresser rapidement une communication aux personnes concernées, alors que la
nécessité de mettre en oeuvre des mesures appropriées empêchant la poursuite de la violation
des données à caractère personnel ou la survenance de violations similaires peut justifier un délai
plus long pour la communication.
(87)
Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles
appropriées ont été mises en oeuvre pour établir immédiatement si une violation des données à
caractère personnel s’est produite et pour informer rapidement l’autorité de contrôle et la
personne concernée. Il convient d’établir que la notification a été faite dans les meilleurs délais,
compte tenu en particulier de la nature et de la gravité de la violation des données à caractère
personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle
notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à
ses pouvoirs fixés par le présent règlement.
(88)
Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la
notification des violations de données à caractère personnel, il convient de tenir dûment compte
des circonstances de cette violation, y compris du fait que les données à caractère personnel
étaient ou non protégées par des mesures de protection techniques appropriées, limitant
efficacement la probabilité d’usurpation d’identité ou d’autres formes d’abus. Par ailleurs, ces
règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives
lorsqu’une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances
de la violation des données à caractère personnel.
(89)
La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à
caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge
administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la
protection des données à caractère personnel. Ces obligations générales de notification sans
distinction devraient dès lors être supprimées et remplacées par des procédures et des
mécanismes efficaces ciblant plutôt les types d’opérations de traitement susceptibles
d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur
nature, de leur portée, de leur contexte et de leurs finalités. Ces types d’opérations de traitement
peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui
sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a
été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires
compte tenu du temps écoulé depuis le traitement initial.
(90)
Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée
par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la
gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des
finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre,
notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la
protection des données à caractère personnel et démontrer le respect du présent règlement.
(91)
Cela devrait s’appliquer en particulier aux opérations de traitement à grande échelle qui visent à
traiter un volume considérable de données à caractère personnel au niveau régional, national ou
supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont
susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible,
lorsque, en conformité avec l’état des connaissances technologiques, une nouvelle technique est
appliquée à grande échelle, ainsi qu’à d’autres opérations de traitement qui engendrent un risque
élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces
opérations, il est plus difficile pour ces personnes d’exercer leurs droits. Une analyse d’impact
relative à la protection des données devrait également être effectuée lorsque des données à
caractère personnel sont traitées en vue de prendre des décisions relatives à des personnes
physiques spécifiques à la suite d’une évaluation systématique et approfondie d’aspects
personnels propres à des personnes physiques sur la base du profilage desdites données ou à la
suite du traitement de catégories particulières de données à caractère personnel, de données
biométriques ou de données relatives à des condamnations pénales et à des infractions, ou
encore à des mesures de sûreté connexes. Une analyse d’impact relative à la protection des
données est de même requise aux fins de la surveillance à grande échelle de zones accessibles
au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute
autre opération pour laquelle l’autorité de contrôle compétente considère que le traitement est
susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, en
particulier parce qu’elles empêchent ces personnes d’exercer un droit ou de bénéficier d’un
service ou d’un contrat, ou parce qu’elles sont effectuées systématiquement à grande échelle. Le
traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande
échelle si le traitement concerne les données à caractère personnel de patients ou de clients par
un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel. Dans de
tels cas, une analyse d’impact relative à la protection des données ne devrait pas être obligatoire.
(92)
Il existe des cas dans lesquels il peut être raisonnable et économique d’élargir la portée de
l’analyse d’impact relative à la protection des données au-delà d’un projet unique, par exemple
lorsque des autorités publiques ou organismes publics entendent mettre en place une application
ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement
envisagent de créer une application ou un environnement de traitement communs à tout un
secteur ou segment professionnel, ou pour une activité transversale largement utilisée.
(93)
Au moment de l’adoption du droit d’un État membre qui fonde l’exercice des missions de
l’autorité publique ou de l’organisme public concernés et qui règlemente l’opération ou
l’ensemble d’opérations de traitement spécifiques, les États membres peuvent estimer qu’une
telle analyse est nécessaire préalablement aux activités de traitement.
(94)
Lorsqu’il ressort d’une analyse d’impact relative à la protection des données que, en l’absence
des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement
engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le
responsable du traitement est d’avis que le risque ne peut être atténué par des moyens
raisonnables compte tenu des techniques disponibles et des coûts de mise en oeuvre, il y a lieu
de consulter l’autorité de contrôle avant le début des opérations de traitement. Certains types de
traitements et l’ampleur et la fréquence des traitements sont susceptibles d’engendrer un tel
risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés
d’une personne physique. L’autorité de contrôle devrait répondre à la demande de consultation
dans un délai déterminé. Toutefois, l’absence de réaction de l’autorité de contrôle dans le délai
imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses
missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d’interdire des
opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d’une
analyse d’impact relative à la protection des données réalisée en ce qui concerne le traitement en
question peuvent être soumis à l’autorité de contrôle, notamment les mesures envisagées pour
atténuer le risque pour les droits et libertés des personnes physiques.
(95)
Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à
assurer le respect des obligations découlant de la réalisation des analyses d’impact relatives à la
protection des données et de la consultation préalable de l’autorité de contrôle.
(96)
L’autorité de contrôle devrait également être consultée au stade de la préparation d’une mesure
législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin
d’assurer que le traitement prévu respecte le présent règlement et, en particulier, d’atténuer le
risque qu’il comporte pour la personne concernée.
(97)
Lorsque le traitement est réalisé par une autorité publique, à l’exception des juridictions ou des
autorités judiciaires indépendantes agissant dans l’exercice de leur fonction juridictionnelle,
lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités
de base consistent en opérations de traitement exigeant un suivi régulier et systématique à
grande échelle des personnes concernées, ou lorsque les activités de base du responsable du
traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories
particulières de données à caractère personnel et de données relatives à des condamnations
pénales et à des infractions, une personne possédant des connaissances spécialisées de la
législation et des pratiques en matière de protection des données devrait aider le responsable du
traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le
secteur privé, les activités de base d’un responsable du traitement ont trait à ses activités
principales et ne concernent pas le traitement des données à caractère personnel en tant
qu’activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé
notamment en fonction des opérations de traitement de données effectuées et de la protection
exigée pour les données à caractère personnel traitées par le responsable du traitement ou le
sous-traitant. De tels délégués à la protection des données, qu’ils soient ou non des employés du
responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en
toute indépendance.
(98)
Il y a lieu d’encourager les associations ou autres organismes représentant des catégories de
responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les
limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des
spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des
micro, petites et moyennes entreprises. Ces codes de conduite pourraient, en particulier, définir
les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu
du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.
(99)
Lors de l’élaboration d’un code de conduite, ou lors de sa modification ou prorogation, les
associations et autres organismes représentant des catégories de responsables du traitement ou
de sous-traitants devraient consulter les parties intéressées, y compris les personnes concernées
lorsque cela est possible, et tenir compte des contributions transmises et des opinions exprimées
à la suite de ces consultations.
(100)
Afin de favoriser la transparence et le respect du présent règlement, la mise en place de
mécanismes de certification ainsi que de labels et de marques en matière de protection des
données devrait être encouragée pour permettre aux personnes concernées d’évaluer rapidement
le niveau de protection des données offert par les produits et services en question.
(101)
Les flux de données à caractère personnel à destination et en provenance de pays en dehors de
l’Union et d’organisations internationales sont nécessaires au développement du commerce
international et de la coopération internationale. L’augmentation de ces flux a créé de nouveaux
enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère
personnel. Cependant, il importe que, lorsque des données à caractère personnel sont
transférées de l’Union à des responsables du traitement, sous-traitants ou autres destinataires
dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes
physiques garanti dans l’Union par le présent règlement ne soit pas compromis, y compris en cas
de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de
l’organisation internationale à des responsables du traitement ou sous-traitants dans le même
pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état
de cause, les transferts vers des pays tiers et à des organisations internationales ne peuvent avoir
lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous
réserve des autres dispositions du présent règlement, les dispositions du présent règlement
relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations
internationales sont respectées par le responsable du traitement ou le sous-traitant.
(102)
Le présent règlement s’entend sans préjudice des accords internationaux conclus entre l’Union et
les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les
garanties appropriées au bénéfice des personnes concernées. Les États membres peuvent
conclure des accords internationaux impliquant le transfert de données à caractère personnel
vers des pays tiers ou à des organisations internationales dans la mesure où ces accords
n’affectent pas le présent règlement ou toute autre disposition du droit de l’Union et prévoient un
niveau approprié de protection des droits fondamentaux des personnes concernées.
(103)
La Commission peut décider, avec effet dans l’ensemble de l’Union, qu’un pays tiers, un territoire
ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau
adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans
l’ensemble l’Union en ce qui concerne le pays tiers ou l’organisation internationale qui est réputé
offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel
vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu’il soit nécessaire
d’obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le
pays tiers ou l’organisation internationale et lui avoir fourni une justification complète, de révoquer
une telle décision.
(104)
Eu égard aux valeurs fondamentales sur lesquelles est fondée l’Union, en particulier la protection
des droits de l’homme, la Commission devrait, dans son évaluation d’un pays tiers, d’un territoire
ou d’un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays
tiers déterminé respecte l’état de droit, garantit l’accès à la justice et observe les règles et normes
internationales dans le domaine des droits de l’homme, ainsi que sa législation générale et
sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi
que l’ordre public et le droit pénal. Lors de l’adoption, à l’égard d’un territoire ou d’un secteur
déterminé dans un pays tiers, d’une décision d’adéquation, il y a lieu de tenir compte de critères
clairs et objectifs, telles que les activités de traitement spécifiques et le champ d’application des
normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers
devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement
équivalent à celui qui est garanti dans l’Union, en particulier quand les données à caractère
personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays
tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des
mécanismes de coopération avec les autorités de protection des données des États membres, et
les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que
des possibilités effectives de recours administratif et juridictionnel.
(105)
Outre les engagements internationaux pris par le pays tiers ou l’organisation internationale, la
Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de
l’organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui
concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces
obligations. Il y a lieu, en particulier, de prendre en considération l’adhésion du pays tiers à la
convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard
du traitement automatisé des données à caractère personnel et à son protocole additionnel.
Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations
internationales, la Commission devrait consulter le comité.
(106)
La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de
protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par
une organisation internationale, et surveiller le fonctionnement des décisions adoptées sur la base
de l’article 25, paragraphe 6, ou de l’article 26, paragraphe 4, de la directive 95/46/CE. Dans ses
décisions d’adéquation, la Commission devrait prévoir un mécanisme d’examen périodique de
leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays
tiers ou l’organisation internationale en question et tenir compte de l’ensemble des évolutions
présentant un intérêt dans le pays tiers ou au sein de l’organisation internationale. Aux fins de la
surveillance et de la réalisation des examens périodiques, la Commission devrait prendre en
considération les observations et les conclusions du Parlement européen et du Conseil, ainsi que
d’autres organes et sources pertinents. La Commission devrait évaluer le fonctionnement
desdites décisions dans un délai raisonnable et communiquer toute conclusion pertinente au
comité au sens du règlement (UE) no 182/2011 du Parlement européen et du Conseil établi en
vertu du présent règlement, au Parlement européen et au Conseil.
(107)
La Commission peut constater qu’un pays tiers, un territoire ou un secteur déterminé dans un
pays tiers, ou une organisation internationale n’assure plus un niveau adéquat de protection des
données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à
cette organisation internationale devrait être interdit, à moins que les exigences du présent
règlement relatives aux transferts faisant l’objet de garanties appropriées, y compris des règles
d’entreprise contraignantes et des dérogations pour des situations particulières, soient
respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le
pays tiers ou l’organisation internationale en question. La Commission devrait informer en temps
utile le pays tiers ou l’organisation internationale des motifs de sa conclusion et engager des
consultations avec ceux-ci en vue de remédier à la situation.
(108)
En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devrait
prendre des mesures pour compenser l’insuffisance de la protection des données dans le pays
tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent
consister à recourir à des règles d’entreprise contraignantes, des clauses types de protection des
données adoptées par la Commission, des clauses types de protection des données adoptées
par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle.
Ces garanties devraient assurer le respect des exigences en matière de protection des données
et des droits des personnes concernées d’une manière appropriée au traitement au sein de
l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit
effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et
d’introduire une action en réparation, dans l’Union ou dans un pays tiers. Ces garanties devraient
porter, en particulier, sur le respect des principes généraux concernant le traitement des données
à caractère personnel et des principes de protection des données dès la conception et de
protection des données par défaut. Des transferts peuvent également être effectués par des
autorités publiques ou des organismes publics avec des autorités publiques ou des organismes
publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou
fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des
arrangements administratifs, telles qu’un protocole d’accord, prévoyant des droits opposables et
effectifs pour les personnes concernées. L’autorisation de l’autorité de contrôle compétente
devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui
ne sont pas juridiquement contraignants.
(109)
La possibilité qu’ont les responsables du traitement et les sous-traitants de recourir à des clauses
types de protection des données adoptées par la Commission ou par une autorité de contrôle ne
devrait pas les empêcher d’inclure ces clauses dans un contrat plus large, tel qu’un contrat entre
le sous-traitant et un autre sous-traitant, ni d’y ajouter d’autres clauses ou des garanties
supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les
clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et
qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des
garanties supplémentaires par l’intermédiaire d’engagements contractuels qui viendraient
compléter les clauses types de protection.
(110)
Un groupe d’entreprises ou un groupe d’entreprises engagées dans une activité économique
conjointe devrait pouvoir recourir à des règles d’entreprise contraignantes approuvées pour ses
transferts internationaux de l’Union vers des entités du même groupe d’entreprises, ou du même
groupe d’entreprises engagées dans une activité économique conjointe, à condition que ces
règles d’entreprise incluent tous les principes essentiels et les droits opposables pour assurer des
garanties appropriées pour les transferts ou catégories de transferts de données à caractère
personnel.
(111)
Il y a lieu de prévoir la possibilité de transferts dans certains cas où la personne concernée a
donné son consentement explicite, lorsque le transfert est occasionnel et nécessaire dans le
cadre d’un contrat ou d’une action en justice, qu’il s’agisse d’une procédure judiciaire,
administrative ou extrajudiciaire, y compris de procédures devant des organismes de régulation. Il
convient également de prévoir la possibilité de transferts lorsque des motifs importants d’intérêt
public établis par le droit de l’Union ou le droit d’un État membre l’exigent, ou lorsque le transfert
intervient au départ d’un registre établi par la loi et destiné à être consulté par le public ou par des
personnes ayant un intérêt légitime. Dans ce dernier cas, ce transfert ne devrait pas porter sur la
totalité des données à caractère personnel ni sur des catégories entières de données contenues
dans le registre et, lorsque celui-ci est destiné à être consulté par des personnes ayant un intérêt
légitime, le transfert ne devrait être effectué qu’à la demande de ces personnes ou lorsqu’elles
doivent en être les destinataires, compte dûment tenu des intérêts et des droits fondamentaux de
la personne concernée.
(112)
Ces dérogations devraient s’appliquer en particulier aux transferts de données requis et
nécessaires pour des motifs importants d’intérêt public, par exemple en cas d’échange
international de données entre autorités de la concurrence, administrations fiscales ou
douanières, entre autorités de surveillance financière, entre services chargés des questions de
sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des
contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer
le dopage dans le sport. Le transfert de données à caractère personnel devrait également être
considéré comme licite lorsqu’il est nécessaire pour protéger un intérêt essentiel pour la
sauvegarde des intérêts vitaux, y compris l’intégrité physique ou la vie, de la personne concernée
ou d’une autre personne, si la personne concernée se trouve dans l’incapacité de donner son
consentement. En l’absence d’une décision d’adéquation, le droit de l’Union ou le droit d’un État
membre peut, pour des motifs importants d’intérêt public, fixer expressément des limites au
transfert de catégories particulières de données vers un pays tiers ou à une organisation
internationale. Les États membres devraient notifier ces dispositions à la Commission. Tout
transfert vers une organisation humanitaire internationale de données à caractère personnel d’une
personne concernée qui se trouve dans l’incapacité physique ou juridique de donner son
consentement, en vue d’accomplir une mission relevant des conventions de Genève ou de
respecter le droit humanitaire international applicable dans les conflits armés, pourrait être
considéré comme nécessaire pour des motifs importants d’intérêt public ou parce que ce
transfert est dans l’intérêt vital de la personne concernée.
(113)
Les transferts qui peuvent être qualifiés de non répétitifs et qui ne touchent qu’un nombre limité
de personnes concernées pourraient également être autorisés aux fins des intérêts légitimes
impérieux poursuivis par le responsable du traitement, lorsque ces intérêts prévalent sur les
intérêts ou les libertés et droits fondamentaux de la personne concernée et lorsque le
responsable du traitement a évalué toutes les circonstances entourant le transfert de données. Le
responsable du traitement devrait accorder une attention particulière à la nature des données à
caractère personnel, à la finalité et à la durée de la ou des opérations de traitement envisagées
ainsi qu’à la situation dans le pays d’origine, le pays tiers et le pays de destination finale, et
devrait prévoir des garanties appropriées pour protéger les libertés et droits fondamentaux des
personnes physiques à l’égard du traitement de leurs données à caractère personnel. De tels
transferts ne devraient être possibles que dans les cas résiduels dans lesquels aucun des autres
motifs de transfert ne sont applicables. À des fins de recherche scientifique ou historique ou à des
fins statistiques, il y a lieu de prendre en considération les attentes légitimes de la société en
matière de progrès des connaissances. Le responsable du traitement devrait informer l’autorité de
contrôle et la personne concernée du transfert.
(114)
En tout état de cause, lorsque la Commission ne s’est pas prononcée sur le caractère adéquat du
niveau de protection des données dans un pays tiers, le responsable du traitement ou le soustraitant
devrait adopter des solutions qui garantissent aux personnes concernées des droits
opposables et effectifs en ce qui concerne le traitement de leurs données dans l’Union une fois
que ces données ont été transférées, de façon à ce que lesdites personnes continuent de
bénéficier des droits fondamentaux et des garanties.
(115)
Certains pays tiers adoptent des lois, des règlements et d’autres actes juridiques qui visent à
réglementer directement les activités de traitement effectuées par des personnes physiques et
morales qui relèvent de la compétence des États membres. Il peut s’agir de décisions de
juridictions ou d’autorités administratives de pays tiers qui exigent d’un responsable du traitement
ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel, et qui ne sont
pas fondées sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le
pays tiers demandeur et l’Union ou un État membre. L’application extraterritoriale de ces lois,
règlements et autres actes juridiques peut être contraire au droit international et faire obstacle à la
protection des personnes physiques garantie dans l’Union par le présent règlement. Les
transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement
pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, entre autres, lorsque la
divulgation est nécessaire pour un motif important d’intérêt public reconnu par le droit de l’Union
ou le d’un État membre auquel le responsable du traitement est soumis.
(116)
Lorsque des données à caractère personnel franchissent les frontières extérieures de l’Union, cela
peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la
protection des données, notamment pour se protéger de l’utilisation ou de la divulgation illicite de
ces informations. De même, les autorités de contrôle peuvent être confrontées à l’impossibilité
d’examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de
leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontalier peuvent également
être freinés par les pouvoirs insuffisants dont elles disposent en matière de prévention ou de
recours, par l’hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le
manque de ressources. En conséquence, il est nécessaire de favoriser une coopération plus
étroite entre les autorités de contrôle de la protection des données, pour les aider à échanger des
informations et mener des enquêtes avec leurs homologues internationaux. Aux fins d’élaborer
des mécanismes de coopération internationale destinés à faciliter et à mettre en place une
assistance mutuelle internationale pour faire appliquer la législation relative à la protection des
données à caractère personnel, la Commission et les autorités de contrôle devraient échanger
des informations et coopérer dans le cadre d’activités liées à l’exercice de leurs compétences
avec les autorités compétentes dans les pays tiers, sur une base réciproque et conformément au
présent règlement.
(117)
La mise en place d’autorités de contrôle dans les États membres, habilitées à exercer leurs
missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des
personnes physiques à l’égard du traitement des données à caractère personnel. Les États
membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur
structure constitutionnelle, organisationnelle et administrative.
(118)
L’indépendance des autorités de contrôle ne devrait pas signifier que celles-ci ne peuvent être
soumises à des mécanismes de contrôle ou de suivi de leur gestion financière ni à un contrôle
juridictionnel.
(119)
Lorsqu’un État membre met en place plusieurs autorités de contrôle, il devrait établir par la loi des
dispositifs garantissant la participation effective de ces autorités au mécanisme de contrôle de la
cohérence. Il devrait en particulier désigner l’autorité de contrôle qui sert de point de contact
unique, permettant une participation efficace de ces autorités au mécanisme, afin d’assurer une
coopération rapide et aisée avec les autres autorités de contrôle, le comité et la Commission.
(120)
Il convient que chaque autorité de contrôle soit dotée des moyens financiers et humains, ainsi
que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y
compris celles qui sont liées à l’assistance mutuelle et à la coopération avec d’autres autorités de
contrôle dans l’ensemble de l’Union. Chaque autorité de contrôle devrait disposer d’un budget
annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.
(121)
Les conditions générales applicables au(x) membre(s) de l’autorité de contrôle devraient être
fixées par la loi dans chaque État membre et devraient prévoir notamment que ces membres sont
nommés, selon une procédure transparente, par le parlement, le gouvernement ou le chef d’État
de cet État membre, sur proposition du gouvernement ou d’un membre du gouvernement, ou du
parlement ou d’une chambre du parlement, ou par un organisme indépendant qui en a été chargé
en vertu du droit d’un État membre,. Afin de garantir l’indépendance de l’autorité de contrôle, il
convient que le membre ou les membres de celle-ci agissent avec intégrité, s’abstiennent de tout
acte incompatible avec leurs fonctions et n’exercent, pendant la durée de leur mandat, aucune
activité professionnelle incompatible, rémunérée ou non. Chaque autorité de contrôle devrait
disposer de ses propres agents, choisis par elle-même ou un organisme indépendant établi par le
droit d’un État membre, qui devraient être placés sous les ordres exclusifs du membre ou des
membres de l’autorité de contrôle.
(122)
Chaque autorité de contrôle devrait être compétente sur le territoire de l’État membre dont elle
relève pour exercer les missions et les pouvoirs dont elle est investie conformément au présent
règlement. Cela devrait couvrir, notamment, le traitement dans le cadre d’activités menées par un
établissement du responsable du traitement ou du sous-traitant sur le territoire de l’État membre
dont elle relève, le traitement de données à caractère personnel effectué par des autorités
publiques ou des organismes privés agissant dans l’intérêt public, le traitement affectant des
personnes concernées sur le territoire de l’État membre dont elle relève, ou encore le traitement
effectué par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union
lorsque ce traitement vise des personnes concernées résidant sur le territoire de l’État membre
dont elle relève. Cela devrait comprendre notamment le traitement des réclamations introduites
par les personnes concernées, la conduite d’enquêtes sur l’application du présent règlement et la
sensibilisation du public aux risques, règles, garanties et droits liés au traitement des données à
caractère personnel.
(123)
Il y a lieu que les autorités de contrôle surveillent l’application des dispositions en vertu du
présent règlement et contribuent à ce que cette application soit cohérente dans l’ensemble de
l’Union, afin de protéger les personnes physiques à l’égard du traitement de leurs données à
caractère personnel et de faciliter le libre flux de ces données dans le marché intérieur. À cet effet,
les autorités de contrôle devraient coopérer entre elles et avec la Commission sans qu’un accord
doive être conclu entre les États membres sur la fourniture d’une assistance mutuelle ou sur une
telle coopération.
(124)
Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d’un
établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union et que ce
responsable du traitement ou ce sous-traitant est établi dans plusieurs États membres, ou que le
traitement qui a lieu dans le cadre des activités d’un établissement unique d’un responsable du
traitement ou d’un sous-traitant dans l’Union affecte sensiblement ou est susceptible d’affecter
sensiblement des personnes concernées dans plusieurs États membres, l’autorité de contrôle
dont relève l’établissement principal ou l’établissement unique du responsable du traitement ou
du sous-traitant devrait faire office d’autorité chef de file. Elle devrait coopérer avec les autres
autorités concernées dans le cas où le responsable du traitement ou le sous-traitant a un
établissement sur le territoire de l’État membre dont elles relèvent, dans le cas où les personnes
concernées résidant sur le territoire dont elles relèvent sont affectées sensiblement ou encore
dans le cas où une réclamation leur a été adressée. En outre, lorsqu’une personne concernée ne
résidant pas dans cet État membre a introduit une réclamation, l’autorité de contrôle auprès de
laquelle celle-ci a été introduite devrait également être une autorité de contrôle concernée. Dans
le cadre de ses missions liées à la publication de lignes directrices sur toute question portant sur
l’application du présent règlement, le comité devrait pouvoir publier des lignes directrices portant,
en particulier, sur les critères à prendre en compte afin de déterminer si le traitement en question
affecte sensiblement des personnes concernées dans plusieurs États membres et sur ce qui
constitue une objection pertinente et motivée.
(125)
L’autorité chef de file devrait être compétente pour adopter des décisions contraignantes
concernant les mesures visant à mettre en oeuvre les pouvoirs qui lui sont conférés conformément
au présent règlement. En sa qualité d’autorité chef de file, l’autorité de contrôle devrait associer
de près les autorités de contrôle concernées au processus décisionnel et assurer une
coordination étroite dans ce cadre. Lorsque qu’il est décidé de rejeter, en tout ou en partie, la
réclamation introduite par la personne concernée, cette décision devrait être adoptée par
l’autorité de contrôle auprès de laquelle la réclamation a été introduite.
(126)
La décision devrait être adoptée conjointement par l’autorité de contrôle chef de file et les
autorités de contrôle concernées, être adressée à l’établissement principal ou unique du
responsable du traitement ou du sous-traitant et être contraignante pour le responsable du
traitement et le sous-traitant. Le responsable du traitement ou le sous-traitant devraient prendre
les mesures nécessaires pour garantir le respect du présent règlement et l’application de la
décision notifiée par l’autorité de contrôle chef de file à l’établissement principal du responsable
du traitement ou du sous-traitant en ce qui concerne les activités de traitement dans l’Union.
(127)
Chaque autorité de contrôle qui ne fait pas office d’autorité de contrôle chef de file devrait être
compétente pour traiter les cas de portée locale lorsque le responsable du traitement ou le soustraitant
est établi dans plusieurs États membres mais que l’objet du traitement spécifique ne se
rapporte qu’à un traitement effectué dans un seul État membre et ne porte que sur des personnes
concernées de ce seul État membre, par exemple lorsqu’il s’agit de traiter des données à
caractère personnel relatives à des employés dans le contexte des relations de travail propre à un
État membre. Dans ces cas, l’autorité de contrôle devrait informer sans tarder l’autorité de
contrôle chef de file de la question. Après avoir été informée, l’autorité de contrôle chef de file
devrait décider si elle traitera le cas en vertu de la disposition relative à la coopération entre
l’autorité de contrôle chef de file et les autres autorités de contrôle concernées (ci-après
dénommé «mécanisme de guichet unique»), ou si l’autorité de contrôle qui l’a informée devrait
traiter le cas au niveau local. Lorsqu’elle décide si elle traitera le cas, l’autorité de contrôle chef de
file devrait considérer s’il existe un établissement du responsable du traitement ou du soustraitant
dans l’État membre dont relève l’autorité de contrôle qui l’a informée, afin d’assurer
l’exécution effective d’une décision à l’égard du responsable du traitement ou du sous-traitant.
Lorsque l’autorité de contrôle chef de file décide de traiter le cas, l’autorité de contrôle qui l’a
informée devrait avoir la possibilité de soumettre un projet de décision, dont l’autorité de contrôle
chef de file devrait tenir le plus grand compte lorsqu’elle élabore son projet de décision dans le
cadre de ce mécanisme de guichet unique.
(128)
Les règles relatives à l’autorité de contrôle chef de file et au mécanisme de guichet unique ne
devraient pas s’appliquer lorsque le traitement est effectué par des autorités publiques ou des
organismes privés dans l’intérêt public. Dans ce cas, la seule autorité de contrôle compétente
pour exercer les pouvoirs qui lui sont conférés conformément au présent règlement devrait être
l’autorité de contrôle de l’État membre dans lequel l’autorité publique ou l’organisme privé est
établi.
(129)
Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière
cohérente dans l’ensemble de l’Union, les autorités de contrôle devraient avoir, dans chaque État
membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d’enquête,
le pouvoir d’adopter des mesures correctrices et d’infliger des sanctions, ainsi que le pouvoir
d’autoriser et d’émettre des avis consultatifs, notamment en cas de réclamation introduite par des
personnes physiques, et, sans préjudice des pouvoirs des autorités chargées des poursuites en
vertu du droit d’un État membre, le pouvoir de porter les violations du présent règlement à
l’attention des autorités judiciaires et d’ester en justice. Ces pouvoirs devraient également inclure
celui d’imposer une limitation temporaire ou définitive au traitement, y compris une interdiction.
Les États membres peuvent préciser d’autres missions liées à la protection des données à
caractère personnel en application du présent règlement. Les pouvoirs des autorités de contrôle
devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit
de l’Union et le droit des État membres, d’une manière impartiale et équitable et dans un délai
raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue
de garantir le respect du présent règlement, compte tenu des circonstances de l’espèce,
respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle
susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs
pour les personnes concernées. Les pouvoirs d’enquête en ce qui concerne l’accès aux
installations devraient être exercés conformément aux exigences spécifiques du droit procédural
des États membres, telle que l’obligation d’obtenir une autorisation judiciaire préalable. Toute
mesure juridiquement contraignante prise par l’autorité de contrôle devrait être présentée par
écrit, être claire et dénuée d’ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à
quelle date, porter la signature du chef ou d’un membre de l’autorité de contrôle qu’il a autorisé,
exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne
devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États
membres. Si une décision juridiquement contraignante est adoptée, elle peut donner lieu à un
contrôle juridictionnel dans l’État membre dont relève l’autorité de contrôle qui l’a adoptée.
(130)
Lorsque l’autorité de contrôle auprès de laquelle la réclamation a été introduite n’est pas l’autorité
de contrôle chef de file, l’autorité de contrôle chef de file devrait coopérer étroitement avec
l’autorité de contrôle auprès de laquelle la réclamation a été introduite conformément aux
dispositions relatives à la coopération et à la cohérence prévues par le présent règlement. Dans
de tels cas, l’autorité de contrôle chef de file devrait, lorsqu’elle adopte des mesures visant à
produire des effets juridiques, y compris des mesures visant à infliger des amendes
administratives, tenir le plus grand compte de l’avis de l’autorité de contrôle auprès de laquelle la
réclamation a été introduite, laquelle devrait rester compétente pour effectuer toute enquête sur le
territoire de l’État membre dont elle relève, en liaison avec l’autorité de contrôle chef de file.
(131)
Lorsqu’une autre autorité de contrôle devrait faire office d’autorité de contrôle chef de file pour les
activités de traitement du responsable du traitement ou du sous-traitant mais que l’objet concret
d’une réclamation ou la violation éventuelle ne concerne que les activités de traitement du
responsable du traitement ou du sous-traitant dans l’État membre dans lequel la réclamation a
été introduite ou dans lequel la violation éventuelle a été constatée et que la question n’affecte
pas sensiblement ou n’est pas susceptible d’affecter sensiblement des personnes concernées
dans d’autres États membres, l’autorité de contrôle qui est saisie d’une réclamation, ou qui
constate des situations susceptibles de constituer des violations du présent règlement ou qui est
informée d’une autre manière de telles situations devrait rechercher un règlement amiable avec le
responsable du traitement et, en cas d’échec, exercer l’ensemble de ses pouvoirs. Ceci devrait
comprendre: les traitements spécifiques qui sont effectués sur le territoire de l’État membre dont
relève l’autorité de contrôle ou qui portent sur des personnes concernées se trouvant sur le
territoire de cet État membre; les traitements effectués dans le cadre d’une offre de biens ou de
services visant spécifiquement des personnes concernées se trouvant sur le territoire de l’État
membre dont relève l’autorité de contrôle; ou encore les traitements qui doivent être évalués à
l’aune des obligations légales pertinentes prévues par le droit d’un État membre.
(132)
Les activités de sensibilisation organisées par les autorités de contrôle à l’intention du public
devraient comprendre des mesures spécifiques destinées aux responsables du traitement et aux
sous-traitants, y compris les micro, petites et moyennes entreprises, ainsi qu’aux personnes
physiques, notamment dans le cadre éducatif.
(133)
Les autorités de contrôle devraient s’entraider dans l’accomplissement de leurs missions et se
prêter mutuellement assistance afin de faire appliquer le présent règlement et de contrôler son
application de manière cohérente dans le marché intérieur. Une autorité de contrôle qui fait appel
à l’assistance mutuelle peut adopter une mesure provisoire si elle ne reçoit pas de réponse à sa
demande d’assistance mutuelle dans un délai d’un mois à compter de la réception de la demande
d’assistance mutuelle par l’autre autorité de contrôle.
(134)
Chaque autorité de contrôle devrait, s’il y a lieu, participer à des opérations conjointes avec
d’autres autorités de contrôle. L’autorité de contrôle requise devrait être tenue de répondre à la
demande dans un délai déterminé.
(135)
Afin de garantir l’application cohérente du présent règlement dans l’ensemble de l’Union, il y a
lieu d’instaurer un mécanisme de contrôle de la cohérence pour la coopération entre les autorités
de contrôle. Ce mécanisme devrait notamment s’appliquer lorsqu’une autorité de contrôle entend
adopter une mesure destinée à produire des effets juridiques en ce qui concerne des opérations
de traitement qui affectent sensiblement un nombre important de personnes concernées dans
plusieurs États membres. Il devrait également s’appliquer lorsqu’une autorité de contrôle
concernée ou la Commission demande que cette question soit traitée dans le cadre du
mécanisme de contrôle de la cohérence. Ce mécanisme devrait s’appliquer sans préjudice des
éventuelles mesures que la Commission peut prendre dans l’exercice des compétences que lui
confèrent les traités.
(136)
Dans le cadre de l’application du mécanisme de contrôle de la cohérence, le comité devrait
émettre un avis, dans un délai déterminé, si une majorité de ses membres le décide ou s’il est
saisi d’une demande en ce sens par une autorité de contrôle concernée ou par la Commission. Le
comité devrait également être habilité à adopter des décisions juridiquement contraignantes en
cas de litiges entre autorités de contrôle. À cet effet, il devrait prendre, en principe à la majorité
des deux tiers de ses membres, des décisions juridiquement contraignantes dans des cas
clairement définis, en cas de points de vue divergents parmi les autorités de contrôle, notamment
dans le cadre du mécanisme de coopération entre l’autorité de contrôle chef de file et les
autorités de contrôle concernées, sur le fond de l’affaire et en particulier sur la question de savoir
s’il y a ou non violation du présent règlement.
(137)
Il peut être nécessaire d’intervenir en urgence pour protéger les droits et libertés des personnes
concernées, en particulier lorsque le danger existe que l’exercice du droit d’une personne
concernée pourrait être considérablement entravé. En conséquence, une autorité de contrôle
devrait pouvoir adopter, sur son territoire, des mesures provisoires dûment justifiées et d’une
durée de validité déterminée qui ne devrait pas excéder trois mois.
(138)
L’application d’un tel mécanisme devrait conditionner la légalité d’une mesure destinée à produire
des effets juridiques prise par une autorité de contrôle dans les cas où cette application est
obligatoire. Dans d’autres cas présentant une dimension transfrontalière, le mécanisme de
coopération entre l’autorité de contrôle chef de file et les autorités de contrôle concernées devrait
être appliqué, et l’assistance mutuelle ainsi que des opérations conjointes pourraient être mises
en oeuvre entre les autorités de contrôle concernées, sur une base bilatérale ou multilatérale, sans
faire jouer le mécanisme de contrôle de la cohérence.
(139)
Afin de favoriser l’application cohérente du présent règlement, le comité devrait être institué en
tant qu’organe indépendant de l’Union. Pour pouvoir atteindre ses objectifs, le comité devrait être
doté de la personnalité juridique. Il devrait être représenté par son président. Il devrait remplacer
le groupe de protection des personnes à l’égard du traitement des données à caractère personnel
institué par la directive 95/46/CE. Il devrait se composer du chef d’une autorité de contrôle de
chaque État membre et du Contrôleur européen de la protection des données ou de leurs
représentants respectifs. La Commission devrait participer aux activités du comité sans droit de
vote et le Contrôleur européen de la protection des données devrait disposer de droits de vote
spécifiques. Le comité devrait contribuer à l’application cohérente du présent règlement dans
l’ensemble de l’Union, notamment en conseillant la Commission, en particulier en ce qui concerne
le niveau de protection dans les pays tiers ou les organisations internationales, et en favorisant la
coopération des autorités de contrôle dans l’ensemble de l’Union. Le comité devrait accomplir
ses missions en toute indépendance.
(140)
Le comité devrait être assisté par un secrétariat assuré par le Contrôleur européen de la
protection des données. Pour s’acquitter de ses tâches, le personnel du Contrôleur européen de
la protection des données chargé des missions que le présent règlement confie au comité ne
devrait recevoir d’instructions que du président du comité et devrait être placé sous l’autorité de
celui-ci.
(141)
Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule
autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et
disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si elle
estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle
ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit
pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée.
L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la
mesure appropriée requise par le cas d’espèce. L’autorité de contrôle devrait informer la
personne concernée de l’état d’avancement et de l’issue de la réclamation dans un délai
raisonnable. Si l’affaire requiert un complément d’enquête ou une coordination avec une autre
autorité de contrôle, des informations intermédiaires devraient être fournies à la personne
concernée. Afin de faciliter l’introduction des réclamations, chaque autorité de contrôle devrait
prendre des mesures telles que la fourniture d’un formulaire de réclamation qui peut être
également rempli par voie électronique, sans que d’autres moyens de communication soient
exclus.
(142)
Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont
violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à
but non lucratif, constitué conformément au droit d’un État membre, dont les objectifs statutaires
sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère
personnel, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle,
exerce le droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu
par le droit d’un État membre, exerce le droit d’obtenir réparation au nom de personnes
concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette
association a le droit d’introduire une réclamation dans cet État membre, indépendamment de
tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel
effectif s’il a des raisons de considérer que les droits d’une personne concernée ont été violés
parce que le traitement des données à caractère personnel a eu lieu en violation du présent
règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à
réclamer réparation pour le compte d’une personne concernée indépendamment du mandat
confié par la personne concernée.
(143)
Toute personne physique ou morale a le droit de former un recours en annulation des décisions
du comité devant la Cour de justice dans les conditions prévues à l’article 263 du traité sur le
fonctionnement de l’Union européenne. Dès lors qu’elles reçoivent de telles décisions, les
autorités de contrôle concernées qui souhaitent les contester doivent le faire dans un délai de
deux mois à compter de la notification qui leur en a été faite, conformément à l’article 263 du
traité sur le fonctionnement de l’Union européenne. Lorsque des décisions du comité concernent
directement et individuellement un responsable du traitement, un sous-traitant ou l’auteur de la
réclamation, ces derniers peuvent former un recours en annulation de ces décisions dans un délai
de deux mois à compter de leur publication sur le site internet du comité, conformément à
l’article 263 du traité sur le fonctionnement de l’Union européenne. Sans préjudice de ce droit
prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne, toute personne
physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction
nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets
juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de
contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus
ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas
des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes,
telles que les avis émis ou les conseils fournis par une autorité de contrôle. Les actions contre
une autorité de contrôle devraient être portées devant les juridictions de l’État membre sur le
territoire duquel l’autorité de contrôle est établie et être menées conformément au droit
procédural de cet État membre. Ces juridictions devraient disposer d’une compétence de pleine
juridiction, ce qui devrait comprendre la compétence pour examiner toutes les questions de fait et
de droit relatives au litige dont elles sont saisies.
Lorsqu’une réclamation a été rejetée ou refusée par une autorité de contrôle, l’auteur de la
réclamation peut intenter une action devant les juridictions de ce même État membre. Dans le
cadre des recours juridictionnels relatifs à l’application du présent règlement, les juridictions
nationales qui estiment qu’une décision sur la question est nécessaire pour leur permettre de
rendre leur jugement peuvent ou, dans le cas prévu à l’article 267 du traité sur le fonctionnement
de l’Union européenne, doivent demander à la Cour de justice de statuer à titre préjudiciel sur
l’interprétation du droit de l’Union, y compris le présent règlement. En outre, lorsqu’une décision
d’une autorité de contrôle mettant en oeuvre une décision du comité est contestée devant une
juridiction nationale et que la validité de la décision du comité est en cause, ladite juridiction
nationale n’est pas habilitée à invalider la décision du comité et doit, dans tous les cas où elle
considère qu’une décision est invalide, soumettre la question de la validité à la Cour de justice,
conformément à l’article 267 du traité sur le fonctionnement de l’Union européenne tel qu’il a été
interprété par la Cour de justice. Toutefois, une juridiction nationale peut ne pas soumettre une
question relative à la validité d’une décision du comité à la demande d’une personne physique ou
morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier
si elle était concernée directement et individuellement par ladite décision, et ne l’a pas fait dans le
délai prévu à l’article 263 du traité sur le fonctionnement de l’Union européenne.
(144)
Lorsqu’une juridiction saisie d’une action contre une décision prise par une autorité de contrôle a
des raisons de croire que des actions concernant le même traitement, portant par exemple sur le
même objet, effectué par le même responsable du traitement ou le même sous-traitant, ou encore
la même cause, sont introduites devant une juridiction compétente d’un autre État membre, il
convient qu’elle contacte cette autre juridiction afin de confirmer l’existence de telles actions
connexes. Si des actions connexes sont pendantes devant une juridiction d’un autre État
membre, toute juridiction autre que celle qui a été saisie en premier peut surseoir à statuer ou
peut, à la demande de l’une des parties, se dessaisir au profit de la juridiction saisie en premier si
celle-ci est compétente pour connaître de l’action concernée et que le droit dont elle relève
permet de regrouper de telles actions connexes. Sont réputées connexes, les actions qui sont à
ce point étroitement liées qu’il y a intérêt à les instruire et à les juger en même temps afin d’éviter
que ne soient rendues des décisions inconciliables, issues de procédures séparées.
(145)
En ce qui concerne les actions contre un responsable du traitement ou un sous-traitant, le
demandeur devrait pouvoir choisir d’intenter l’action devant les juridictions des États membres
dans lesquels le responsable du traitement ou le sous-traitant dispose d’un établissement ou
dans l’État membre dans lequel la personne concernée réside, à moins que le responsable du
traitement ne soit une autorité publique d’un État membre agissant dans l’exercice de ses
prérogatives de puissance publique.
(146)
Le responsable du traitement ou le sous-traitant devrait réparer tout dommage qu’une personne
peut subir du fait d’un traitement effectué en violation du présent règlement. Le responsable du
traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le
dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens
large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement
compte des objectifs du présent règlement. Cela est sans préjudice de toute action en
dommages-intérêts fondée sur une infraction à d’autres règles du droit de l’Union ou du droit d’un
État membre. Un traitement effectué en violation du présent règlement comprend aussi un
traitement effectué en violation des actes délégués et d’exécution adoptés conformément au
présent règlement et au droit d’un État membre précisant les règles du présent règlement. Les
personnes concernées devraient recevoir une réparation complète et effective pour le dommage
subi. Lorsque des responsables du traitement ou des sous-traitants participent à un même
traitement, chaque responsable du traitement ou chaque sous-traitant devrait être tenu
responsable pour la totalité du dommage. Toutefois, lorsque des responsables du traitement et
des sous-traitants sont concernés par la même procédure judiciaire, conformément au droit d’un
État membre, la réparation peut être répartie en fonction de la part de responsabilité de chaque
responsable du traitement ou de chaque sous-traitant dans le dommage causé par le traitement,
à condition que le dommage subi par la personne concernée soit entièrement et effectivement
réparé. Tout responsable du traitement ou tout sous-traitant qui a réparé totalement le dommage
peut par la suite introduire un recours contre d’autres responsables du traitement ou soustraitants
ayant participé au même traitement.
(147)
Lorsque le présent règlement prévoit des règles de compétence spécifiques, notamment en ce
qui concerne les procédures relatives aux recours juridictionnels, y compris ceux qui visent à
obtenir réparation, contre un responsable du traitement ou un sous-traitant, les règles de
compétence générales, telles que celles prévues dans le règlement (UE) no 1215/2012 du
Parlement européen et du Conseil, ne devraient pas porter préjudice à l’application de telles
règles juridictionnelles spécifiques.
(148)
Afin de renforcer l’application des règles du présent règlement, des sanctions y compris des
amendes administratives devraient être infligées pour toute violation du présent règlement, en
complément ou à la place des mesures appropriées imposées par l’autorité de contrôle en vertu
du présent règlement. En cas de violation mineure ou si l’amende susceptible d’être imposée
constitue une charge disproportionnée pour une personne physique, un rappel à l’ordre peut être
adressé plutôt qu’une amende. Il convient toutefois de tenir dûment compte de la nature, de la
gravité et de la durée de la violation, du caractère intentionnel de la violation et des mesures
prises pour atténuer le dommage subi, du degré de responsabilité ou de toute violation pertinente
commise précédemment, de la manière dont l’autorité de contrôle a eu connaissance de la
violation, du respect des mesures ordonnées à l’encontre du responsable du traitement ou du
sous-traitant, de l’application d’un code de conduite, et de toute autre circonstance aggravante
ou atténuante. L’application de sanctions y compris d’amendes administratives devrait faire
l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de
l’Union et de la Charte, y compris le droit à une protection juridictionnelle effective et à une
procédure régulière.
(149)
Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en
cas de violation du présent règlement, y compris de violation des dispositions nationales
adoptées en application et dans les limites du présent règlement. Ces sanctions pénales peuvent
aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois,
l’application de sanctions pénales en cas de violation de ces dispositions nationales et
l’application de sanctions administratives ne devrait pas entraîner la violation du principe ne bis in
idem tel qu’il a été interprété par la Cour de justice.
(150)
Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du
présent règlement, chaque autorité de contrôle devrait avoir le pouvoir d’imposer des amendes
administratives. Le présent règlement devrait définir les violations, le montant maximal et les
critères de fixation des amendes administratives dont elles sont passibles, qui devraient être fixés
par l’autorité de contrôle compétente dans chaque cas d’espèce, en prenant en considération
toutes les caractéristiques propres à chaque cas et compte dûment tenu, notamment, de la
nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures
prises pour garantir le respect des obligations découlant du règlement et pour prévenir ou
atténuer les conséquences de la violation. Lorsque des amendes administratives sont imposées à
une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux
articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes
administratives sont imposées à des personnes qui ne sont pas une entreprise, l’autorité de
contrôle devrait tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende,
du niveau général des revenus dans l’État membre ainsi que de la situation économique de la
personne en cause. Il peut en outre être recouru au mécanisme de contrôle de la cohérence pour
favoriser une application cohérente des amendes administratives. Il devrait appartenir aux États
membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet
d’amendes administratives. L’application d’une amende administrative ou le fait de donner un
avertissement ne portent pas atteinte à l’exercice d’autres pouvoirs des autorités de contrôle ou à
l’application d’autres sanctions en vertu du présent règlement.
(151)
Les systèmes juridiques du Danemark et de l’Estonie ne permettent pas d’imposer des amendes
administratives comme le prévoit le présent règlement. Les règles relatives aux amendes
administratives peuvent être appliquées de telle sorte que, au Danemark, l’amende est imposée
par les juridictions nationales compétentes sous la forme d’une sanction pénale et en Estonie,
l’amende est imposée par l’autorité de contrôle dans le cadre d’une procédure de délit, à
condition qu’une telle application des règles dans ces États membres ait un effet équivalent aux
amendes administratives imposées par les autorités de contrôle. C’est pourquoi les juridictions
nationales compétentes devraient tenir compte de la recommandation formulée par l’autorité de
contrôle qui est à l’origine de l’amende. En tout état de cause, les amendes imposées devraient
être effectives, proportionnées et dissuasives.
(152)
Lorsque le présent règlement n’harmonise pas les sanctions administratives ou, si nécessaire
dans d’autres circonstances, par exemple en cas de violation grave du présent règlement, les
États membres devraient mettre en oeuvre un système qui prévoit des sanctions effectives,
proportionnées et dissuasives. La nature de ces sanctions, pénales ou administratives, devrait
être déterminée par le droit des États membres.
(153)
Le droit des États membres devrait concilier les règles régissant la liberté d’expression et
d’information, y compris l’expression journalistique, universitaire, artistique ou littéraire, et le droit
à la protection des données à caractère personnel en vertu du présent règlement. Dans le cadre
du traitement de données à caractère personnel uniquement à des fins journalistiques ou à des
fins d’expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des
exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le
droit à la protection des données à caractère personnel et le droit à la liberté d’expression et
d’information, consacré par l’article 11 de la Charte. Tel devrait notamment être le cas des
traitements de données à caractère personnel dans le domaine de l’audiovisuel et dans les
documents d’archives d’actualités et bibliothèques de la presse. En conséquence, les États
membres devraient adopter des dispositions législatives qui fixent les exemptions et dérogations
nécessaires aux fins d’assurer un équilibre entre ces droits fondamentaux. Les États membres
devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux,
les droits de la personne concernée, le responsable du traitement et le sous-traitant, le transfert
de données à caractère personnel vers des pays tiers ou à des organisations internationales, les
autorités de contrôle indépendantes, la coopération et la cohérence, ainsi que les situations
particulières de traitement des données. Lorsque ces exemptions ou dérogations diffèrent d’un
État membre à l’autre, le droit de l’État membre dont relève le responsable du traitement devrait
s’appliquer. Pour tenir compte de l’importance du droit à la liberté d’expression dans toute
société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté,
telles que le journalisme.
(154)
Le présent règlement permet de prendre en compte, dans son application, le principe de l’accès
du public aux documents officiels. L’accès du public aux documents officiels peut être considéré
comme étant dans l’intérêt public. Les données à caractère personnel figurant dans des
documents détenus par une autorité publique ou un organisme public devraient pouvoir être
rendues publiques par ladite autorité ou ledit organisme si cette communication est prévue par le
droit de l’Union ou le droit de l’État membre dont relève l’autorité publique ou l’organisme public.
Ces dispositions légales devraient concilier l’accès du public aux documents officiels et la
réutilisation des informations du secteur public, d’une part, et le droit à la protection des données
à caractère personnel, d’autre part, et peuvent dès lors prévoir la conciliation nécessaire avec le
droit à la protection des données à caractère personnel en vertu du présent règlement. Dans ce
contexte, il convient d’entendre par «autorités publiques et organismes publics», toutes les
autorités ou autres organismes relevant du droit d’un État membre en matière d’accès du public
aux documents. La directive 2003/98/CE du Parlement européen et du Conseil laisse intact et
n’affecte en rien le niveau de protection des personnes physiques à l’égard du traitement des
données à caractère personnel garanti par les dispositions du droit de l’Union et du droit des
États membres et, en particulier, ne modifie en rien les droits et obligations prévus dans le présent
règlement. En particulier, ladite directive ne devrait pas s’appliquer aux documents dont l’accès
est exclu ou limité en application de règles d’accès pour des motifs de protection des données à
caractère personnel, et aux parties de documents accessibles en vertu desdites règles qui
contiennent des données à caractère personnel dont la réutilisation a été prévue par la loi comme
étant incompatible avec la législation concernant la protection des personnes physiques à l’égard
du traitement des données à caractère personnel.
(155)
Le droit des États membres ou des conventions collectives, y compris des «accords d’entreprise»
peuvent prévoir des règles spécifiques relatives au traitement des données à caractère personnel
des employés dans le cadre des relations de travail, notamment les conditions dans lesquelles les
données à caractère personnel dans le cadre des relations de travail peuvent être traitées sur la
base du consentement de l’employé, aux fins du recrutement, de l’exécution du contrat de travail,
y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la
gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de
travail, de la santé et de la sécurité au travail, et aux fins de l’exercice et de la jouissance des
droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la
résiliation de la relation de travail.
(156)
Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à
des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à
des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du
présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et
organisationnelles pour assurer, en particulier, le respect du principe de minimisation des
données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans
l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit
être effectué lorsque que le responsable du traitement a évalué s’il est possible d’atteindre ces
finalités grâce à un traitement de données qui ne permettent pas ou plus d’identifier les
personnes concernées, pour autant que des garanties appropriées existent (comme par exemple
la pseudonymisation des données). Les États membres devraient prévoir des garanties
appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans
l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les
États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant
des garanties appropriées pour les personnes concernées, des dispositions particulières et des
dérogations concernant les exigences en matière d’information et les droits à la rectification, à
l’effacement, à l’oubli, à la limitation du traitement, à la portabilité des données et le droit
d’opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques
dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les conditions et garanties en question peuvent comporter des procédures spécifiques
permettant aux personnes concernées d’exercer ces droits si cela est approprié eu égard aux
finalités du traitement spécifique concerné, ainsi que des mesures techniques et
organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel
conformément aux principes de proportionnalité et de nécessité. Le traitement de données à
caractère personnel à des fins scientifiques devrait également respecter d’autres dispositions
législatives pertinentes, telles que celles relatives aux essais cliniques.
(157)
En combinant les informations issues des registres, les chercheurs peuvent acquérir de nouvelles
connaissances d’un grand intérêt en ce qui concerne des problèmes médicaux très répandus tels
que les maladies cardiovasculaires, le cancer et la dépression. Sur la base des registres, les
résultats de la recherche peuvent être améliorés car ils s’appuient sur un échantillon plus large de
population. Dans le cadre des sciences sociales, la recherche sur la base des registres permet
aux chercheurs d’acquérir des connaissances essentielles sur les corrélations à long terme
existant entre un certain nombre de conditions sociales telles que le chômage et l’éducation et
d’autres conditions de vie. Les résultats de la recherche obtenus à l’aide des registres fournissent
des connaissances fiables et de grande qualité qui peuvent servir de base à l’élaboration et à la
mise en oeuvre d’une politique fondée sur la connaissance, améliorer la qualité de vie d’un certain
nombre de personnes et renforcer l’efficacité des services sociaux. Pour faciliter la recherche
scientifique, les données à caractère personnel peuvent être traitées à des fins de recherche
scientifique sous réserve de conditions et de garanties appropriées prévues dans le droit de
l’Union ou le droit des États membres.
(158)
Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent
règlement devrait également s’appliquer à ce traitement, étant entendu qu’il ne devrait pas
s’appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou
privés qui conservent des archives dans l’intérêt public devraient être des services qui, en vertu
du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver,
d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives
qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès. Les États
membres devraient également être autorisés à prévoir un traitement ultérieur des données à
caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations
précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux
génocides, aux crimes contre l’humanité, notamment l’Holocauste, ou aux crimes de guerre.
(159)
Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le
présent règlement devrait également s’appliquer à ce traitement. Aux fins du présent règlement,
le traitement de données à caractère personnel à des fins de recherche scientifique devrait être
interprété au sens large et couvrir, par exemple, le développement et la démonstration de
technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le
secteur privé. Il devrait, en outre, tenir compte de l’objectif de l’Union mentionné à l’article 179,
paragraphe 1, du traité sur le fonctionnement de l’Union européenne, consistant à réaliser un
espace européen de la recherche. Par «fins de recherche scientifique», il convient également
d’entendre les études menées dans l’intérêt public dans le domaine de la santé publique. Pour
répondre aux spécificités du traitement de données à caractère personnel à des fins de recherche
scientifique, des conditions particulières devraient s’appliquer, en particulier, en ce qui concerne
la publication ou la divulgation d’une autre manière de données à caractère personnel dans le
cadre de finalités de la recherche scientifique. Si le résultat de la recherche scientifique, en
particulier dans le domaine de la santé, justifie de nouvelles mesures dans l’intérêt de la personne
concernée, les règles générales du présent règlement s’appliquent à l’égard de ces mesures.
(160)
Lorsque des données à caractère personnel sont traitées à des fins de recherche historique, le
présent règlement devrait également s’appliquer à ce traitement. Cela devrait aussi comprendre
les recherches historiques et les recherches à des fins généalogiques, étant entendu que le
présent règlement ne devrait pas s’appliquer aux personnes décédées.
(161)
Aux fins du consentement à la participation à des activités de recherche scientifique dans le cadre
d’essais cliniques, les dispositions pertinentes du règlement (UE) no 536/2014 du Parlement
européen et du Conseil devraient s’appliquer.
(162)
Lorsque des données à caractère personnel sont traitées à des fins statistiques, le présent
règlement devrait s’appliquer à ce traitement. Le droit de l’Union ou le droit des États membres
devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle
de l’accès aux données et arrêter des dispositions particulières pour le traitement de données à
caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde
des droits et libertés de la personne concernée et pour préserver le secret statistique. Par «fins
statistiques», on entend toute opération de collecte et de traitement de données à caractère
personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques.
Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de
recherche scientifique. Les fins statistiques impliquent que le résultat du traitement à des fins
statistiques ne constitue pas des données à caractère personnel mais des données agrégées, et
que ce résultat ou ces données à caractère personnel ne sont pas utilisés à l’appui de mesures
ou de décisions concernant une personne physique en particulier.
(163)
Les informations confidentielles que les autorités statistiques de l’Union et des États membres
recueillent pour élaborer des statistiques officielles européennes et nationales devraient être
protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées
conformément aux principes statistiques énoncés à l’article 338, paragraphe 2, du traité sur le
fonctionnement de l’Union européenne, et les statistiques nationales devraient également
respecter le droit des États membres. Le règlement (CE) no 223/2009 du Parlement européen et
du Conseil contient d’autres dispositions particulières relatives aux statistiques européennes
couvertes par le secret.
(164)
En ce qui concerne les pouvoirs qu’ont les autorités de contrôle d’obtenir du responsable du
traitement ou du sous-traitant l’accès aux données à caractère personnel et l’accès à leurs
locaux, les États membres peuvent adopter par la loi, dans les limites du présent règlement, des
règles spécifiques visant à garantir l’obligation de secret professionnel ou d’autres obligations de
secret équivalentes, dans la mesure où cela est nécessaire pour concilier le droit à la protection
des données à caractère personnel et l’obligation de secret professionnel. Cela s’entend sans
préjudice des obligations existantes incombant aux États membres en matière d’adoption de
règles relatives au secret professionnel lorsque le droit de l’Union l’impose.
(165)
Le présent règlement respecte et ne porte pas préjudice au statut dont bénéficient, en vertu du
droit constitutionnel en vigueur, les églises et les associations ou communautés religieuses dans
les États membres, tel qu’il est reconnu par l’article 17 du traité sur le fonctionnement de l’Union
européenne.
(166)
Afin de remplir les objectifs du présent règlement, à savoir protéger les libertés et droits
fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à
caractère personnel, et garantir la libre circulation de ces données au sein de l’Union, il convient
de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du
traité sur le fonctionnement de l’Union européenne. En particulier, des actes délégués devraient
être adoptés en ce qui concerne les critères et exigences applicables aux mécanismes de
certification, les informations à présenter sous la forme d’icônes normalisées ainsi que les
procédures régissant la fourniture de ces icônes. Il importe particulièrement que la Commission
procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des
experts. Il convient que, lorsqu’elle prépare et élabore des actes délégués, la Commission veille à
ce que tous les documents pertinents soient transmis simultanément en temps utile et de façon
appropriée au Parlement européen et au Conseil.
(167)
Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer
des compétences d’exécution à la Commission lorsque le présent règlement le prévoit. Ces
compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011. Dans ce
cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et
moyennes entreprises.
(168)
Compte tenu de la portée générale des actes concernés, il convient d’avoir recours à la
procédure d’examen pour l’adoption d’actes d’exécution en ce qui concerne les clauses
contractuelles types entre les responsables du traitement et les sous-traitants ainsi qu’entre les
sous-traitants; des codes de conduite; des normes techniques et des mécanismes de
certification; le niveau adéquat de protection offert par un pays tiers, un territoire ou un secteur
déterminé dans ce pays tiers, ou une organisation internationale; les clauses types de protection;
les formats et les procédures pour l’échange d’informations par voie électronique entre
responsables du traitement, sous-traitants et autorités de contrôle en ce qui concerne les règles
d’entreprise contraignantes; l’assistance mutuelle; et les modalités de l’échange d’informations
par voie électronique entre les autorités de contrôle ainsi qu’entre les autorités de contrôle et le
comité.
(169)
La Commission devrait adopter des actes d’exécution immédiatement applicables lorsque les
éléments de preuve disponibles montrent qu’un pays tiers, un territoire ou un secteur déterminé
dans ce pays tiers, ou une organisation internationale n’offre pas un niveau de protection adéquat
et que des raisons d’urgence impérieuses l’imposent.
(170)
Étant donné que l’objectif du présent règlement, à savoir assurer un niveau équivalent de
protection des personnes physiques et le libre flux des données à caractère personnel dans
l’ensemble de l’Union, ne peut pas être atteint de manière suffisante par les États membres mais
peut, en raison des dimensions ou des effets de l’action, l’être mieux au niveau de l’Union, celle-ci
peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du
traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit
article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.
(171)
La directive 95/46/CE devrait être abrogée par le présent règlement. Les traitements déjà en
cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci
dans un délai de deux ans après son entrée en vigueur. Lorsque le traitement est fondé sur un
consentement en vertu de la directive 95/46/CE, il n’est pas nécessaire que la personne
concernée donne à nouveau son consentement si la manière dont le consentement a été donné
est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le
responsable du traitement puisse poursuivre le traitement après la date d’application du présent
règlement. Les décisions de la Commission qui ont été adoptées et les autorisations qui ont été
accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en
vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées.
(172)
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28,
paragraphe 2, du règlement (CE) no 45/2001 et a rendu un avis le 7 mars 2012.
(173)
Le présent règlement devrait s’appliquer à tous les aspects de la protection des libertés et droits
fondamentaux à l’égard du traitement des données à caractère personnel qui ne sont pas soumis
à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE du
Parlement européen et du Conseil, y compris les obligations incombant au responsable du
traitement et les droits des personnes physiques. Afin de clarifier la relation entre le présent
règlement et la directive 2002/58/CE, cette directive devrait être modifiée en conséquence. Après
l’adoption du présent règlement, il convient de réexaminer la directive 2002/58/CE, notamment
afin d’assurer la cohérence avec le présent règlement,
B Corp International
Jean François Bartier
B Corp International « BCI » – 124, Rue du Quesne – 59700 Marcq en Baroeul
415 014 539 RCS Lille Métropole – ORIAS : 22006234 – Carte T et G : CPI 59062022 000 000 081
Tel : 06 01 46 83 84 – jean.francois@bartier.ovh – https://bcorpinternational.com/