interactive GDPR 2016/0679 FR

« données_à_caractère_personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

« traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données_à_caractère_personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

3)	«limitation du traitement», le marquage de données_à_caractère_personnel conservées, en vue de limiter leur traitement futur;

« profilage», toute forme de traitement automatisé de données_à_caractère_personnel consistant à utiliser ces données_à_caractère_personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

« pseudonymisation», le traitement de données_à_caractère_personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données_à_caractère_personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

6)	« fichier», tout ensemble structuré de données_à_caractère_personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

«responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;

8)	« sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données_à_caractère_personnel pour le compte du responsable du traitement;

« destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données_à_caractère_personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données_à_caractère_personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

10)

« tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données_à_caractère_personnel;

11)	« consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données_à_caractère_personnel la concernant fassent l'objet d'un traitement;

12)

«violation de données_à_caractère_personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données_à_caractère_personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;

13)

« données_génétiques», les données_à_caractère_personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;

14)

« données_biométriques», les données_à_caractère_personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

15)	« données_concernant_la_santé», les données_à_caractère_personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;

16)

« établissement_principal»,

en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données_à_caractère_personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l' établissement_principal;

en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

17)	« représentant», une personne physique ou morale établie dans l'Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l'article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

18)	« entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

19)	«groupe d' entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

20)

«règles d' entreprise contraignantes», les règles internes relatives à la protection des données_à_caractère_personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données_à_caractère_personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d' entreprises, ou d'un groupe d' entreprises engagées dans une activité économique conjointe;

21)	« autorité_de_contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51;

22)

« autorité_de_contrôle concernée», une autorité_de_contrôle qui est concernée par le traitement de données_à_caractère_personnel parce que:

a)	le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité_de_contrôle relève;

b)	des personnes concernées résidant dans l'État membre de cette autorité_de_contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être; ou

c)	une réclamation a été introduite auprès de cette autorité_de_contrôle;

23)

« traitement transfrontalier»,

a)	un traitement de données_à_caractère_personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou

un traitement de données_à_caractère_personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;

24)

« objection_pertinente_et_motivée», une objection à un projet de décision quant à savoir s'il y a ou non violation du présent règlement ou si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l'importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données_à_caractère_personnel au sein de l'Union;

25)	« service_de_la_société_de_l'information», un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (19);

26)	« organisation_internationale», une organisation_internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.

CHAPITRE II

Principes

Article 7

Conditions applicables au consentement

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données_à_caractère_personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données_à_caractère_personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Article 8

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information

1. Lorsque l'article 6, paragraphe 1, point a), s'applique, en ce qui concerne l'offre directe de services de la société de l'information aux enfants, le traitement des données_à_caractère_personnel relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Lorsque l'enfant est âgé de moins de 16 ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2. Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant.

Article 9

Traitement portant sur des catégories particulières de données_à_caractère_personnel

1. Le traitement des données_à_caractère_personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données_génétiques, des données_biométriques aux fins d'identifier une personne physique de manière unique, des données_concernant_la_santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:

la personne concernée a donné son consentement explicite au traitement de ces données_à_caractère_personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c)	le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données_à_caractère_personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e)	le traitement porte sur des données_à_caractère_personnel qui sont manifestement rendues publiques par la personne concernée;

f)	le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3. Les données_à_caractère_personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données_génétiques, des données_biométriques ou des données_concernant_la_santé.

Article 13

Informations à fournir lorsque des données_à_caractère_personnel sont collectées auprès de la personne concernée

1. Lorsque des données_à_caractère_personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a)	l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b)	le cas échéant, les coordonnées du délégué à la protection des données;

c)	les finalités du traitement auquel sont destinées les données_à_caractère_personnel ainsi que la base juridique du traitement;

d)	lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

e)	les destinataires ou les catégories de destinataires des données_à_caractère_personnel, s'ils existent; et

le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données_à_caractère_personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a)	la durée de conservation des données_à_caractère_personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b)	l'existence du droit de demander au responsable du traitement l'accès aux données_à_caractère_personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;

c)	lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d)	le droit d'introduire une réclamation auprès d'une autorité_de_contrôle;

des informations sur la question de savoir si l'exigence de fourniture de données_à_caractère_personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données_à_caractère_personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

f)	l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données_à_caractère_personnel pour une finalité autre que celle pour laquelle les données_à_caractère_personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

Article 14

Informations à fournir lorsque les données_à_caractère_personnel n'ont pas été collectées auprès de la personne concernée

1. Lorsque les données_à_caractère_personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a)	l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b)	le cas échéant, les coordonnées du délégué à la protection des données;

c)	les finalités du traitement auquel sont destinées les données_à_caractère_personnel ainsi que la base juridique du traitement;

d)	les catégories de données_à_caractère_personnel concernées;

e)	le cas échéant, les destinataires ou les catégories de destinataires des données_à_caractère_personnel;

le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données_à_caractère_personnel à un destinataire dans un pays tiers ou une organisation_internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:

a)	la durée pendant laquelle les données_à_caractère_personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b)	lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

l'existence du droit de demander au responsable du traitement l'accès aux données_à_caractère_personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;

d)	lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e)	le droit d'introduire une réclamation auprès d'une autorité_de_contrôle;

f)	la source d'où proviennent les données_à_caractère_personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;

g)	l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a)	dans un délai raisonnable après avoir obtenu les données_à_caractère_personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données_à_caractère_personnel sont traitées;

b)	si les données_à_caractère_personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c)	s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données_à_caractère_personnel sont communiquées pour la première fois.

4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données_à_caractère_personnel pour une finalité autre que celle pour laquelle les données_à_caractère_personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:

a)	la personne concernée dispose déjà de ces informations;

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c)	l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d)	les données_à_caractère_personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 15

Droit d'accès de la personne concernée

1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données_à_caractère_personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données_à_caractère_personnel ainsi que les informations suivantes:

a)	les finalités du traitement;

b)	les catégories de données_à_caractère_personnel concernées;

c)	les destinataires ou catégories de destinataires auxquels les données_à_caractère_personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d)	lorsque cela est possible, la durée de conservation des données_à_caractère_personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e)	l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données_à_caractère_personnel, ou une limitation du traitement des données_à_caractère_personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

f)	le droit d'introduire une réclamation auprès d'une autorité_de_contrôle;

g)	lorsque les données_à_caractère_personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h)	l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données_à_caractère_personnel sont transférées vers un pays tiers ou à une organisation_internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données_à_caractère_personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

Section 3

Rectification et effacement

Article 16

Droit de rectification

La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données_à_caractère_personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données_à_caractère_personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Article 17

Droit à l'effacement («droit à l'oubli»)

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données_à_caractère_personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données_à_caractère_personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:

a)	les données_à_caractère_personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;

b)	la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;

c)	la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;

d)	les données_à_caractère_personnel ont fait l'objet d'un traitement illicite;

e)	les données_à_caractère_personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;

f)	les données_à_caractère_personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

2. Lorsqu'il a rendu publiques les données_à_caractère_personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données_à_caractère_personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données_à_caractère_personnel, ou de toute copie ou reproduction de celles-ci.

3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire:

a)	à l'exercice du droit à la liberté d'expression et d'information;

pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

c)	pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;

à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e)	à la constatation, à l'exercice ou à la défense de droits en justice.

Article 20

Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données_à_caractère_personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données_à_caractère_personnel ont été communiquées y fasse obstacle, lorsque:

a)	le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et

b)	le traitement est effectué à l'aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données_à_caractère_personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L'exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Section 4

Droit d'opposition et prise de décision individuelle automatisée

Article 21

Droit d'opposition

1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données_à_caractère_personnel la concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données_à_caractère_personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

2. Lorsque les données_à_caractère_personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données_à_caractère_personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données_à_caractère_personnel ne sont plus traitées à ces fins.

4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l'attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5. Dans le cadre de l'utilisation de services de la société de l'information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d'opposition à l'aide de procédés automatisés utilisant des spécifications techniques.

6. Lorsque des données_à_caractère_personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l'article 89, paragraphe 1, la personne concernée a le droit de s'opposer, pour des raisons tenant à sa situation particulière, au traitement de données_à_caractère_personnel la concernant, à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public.

Article 22

Décision individuelle automatisée, y compris le profilage

1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision:

a)	est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;

b)	est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c)	est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données_à_caractère_personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Section 5

Limitations

Article 28

Sous-traitant

1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données_à_caractère_personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

ne traite les données_à_caractère_personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;

b)	veille à ce que les personnes autorisées à traiter les données_à_caractère_personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c)	prend toutes les mesures requises en vertu de l'article 32;

d)	respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f)	aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

selon le choix du responsable du traitement, supprime toutes les données_à_caractère_personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données_à_caractère_personnel; et

met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

5. L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2.

8. Une autorité_de_contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63.

9. Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Article 33

Notification à l' autorité_de_contrôle d'une violation de données_à_caractère_personnel

1. En cas de violation de données_à_caractère_personnel, le responsable du traitement en notifie la violation en question à l' autorité_de_contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l' autorité_de_contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données_à_caractère_personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a)	décrire la nature de la violation de données_à_caractère_personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données_à_caractère_personnel concernés;

b)	communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)	décrire les conséquences probables de la violation de données_à_caractère_personnel;

d)	décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données_à_caractère_personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données_à_caractère_personnel, en indiquant les faits concernant la violation des données_à_caractère_personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l' autorité_de_contrôle de vérifier le respect du présent article.

Article 34

Communication à la personne concernée d'une violation de données_à_caractère_personnel

1. Lorsqu'une violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données_à_caractère_personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données_à_caractère_personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données_à_caractère_personnel affectées par ladite violation, en particulier les mesures qui rendent les données_à_caractère_personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b)	le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c)	elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données_à_caractère_personnel la concernant, l' autorité_de_contrôle peut, après avoir examiné si cette violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Section 3

Analyse d'impact relative à la protection des donnés et consultation préalable

Article 35

Analyse d'impact relative à la protection des données

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données_à_caractère_personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;

b)	le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données_à_caractère_personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c)	la surveillance systématique à grande échelle d'une zone accessible au public.

4. L' autorité_de_contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément au paragraphe 1. L' autorité_de_contrôle communique ces listes au comité visé à l'article 68.

5. L' autorité_de_contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L' autorité_de_contrôle communique cette liste au comité.

6. Avant d'adopter les listes visées aux paragraphes 4 et 5, l' autorité_de_contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l'article 63, lorsque ces listes comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données_à_caractère_personnel au sein de l'Union.

7. L'analyse contient au moins:

a)	une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

b)	une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c)	une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données_à_caractère_personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Article 54

Règles relatives à l'établissement de l' autorité_de_contrôle

1. Chaque État membre prévoit, par la loi, tous les éléments suivants:

a)	la création de chaque autorité_de_contrôle;

b)	les qualifications et les conditions d'éligibilité requises pour être nommé membre de chaque autorité_de_contrôle;

c)	les règles et les procédures pour la nomination du ou des membres de chaque autorité_de_contrôle;

la durée du mandat du ou des membres de chaque autorité_de_contrôle, qui ne peut être inférieure à quatre ans, sauf pour le premier mandat après le 24 mai 2016, dont une partie peut être d'une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de l' autorité_de_contrôle au moyen d'une procédure de nominations échelonnées;

e)	le caractère renouvelable ou non du mandat du ou des membres de chaque autorité_de_contrôle et, si c'est le cas, le nombre de mandats;

f)	les conditions régissant les obligations du ou des membres et des agents de chaque autorité_de_contrôle, les interdictions d'activités, d'emplois et d'avantages incompatibles avec celles-ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l'emploi.

2. Le ou les membres et les agents de chaque autorité_de_contrôle sont soumis, conformément au droit de l'Union ou au droit des États membres, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs missions ou de leurs pouvoirs, y compris après la fin de leur mandat. Pendant la durée de leur mandat, ce secret professionnel s'applique en particulier au signalement par des personnes physiques de violations du présent règlement.

Section 2

Compétence, missions et pouvoirs

Article 56

Compétence de l' autorité_de_contrôle chef de file

1. Sans préjudice de l'article 55, l' autorité_de_contrôle de l' établissement_principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu' autorité_de_contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60.

2. Par dérogation au paragraphe 1, chaque autorité_de_contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

3. Dans les cas visés au paragraphe 2 du présent article, l' autorité_de_contrôle informe sans tarder l' autorité_de_contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l' autorité_de_contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l'article 60, en considérant s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l' autorité_de_contrôle qui l'a informée.

4. Si l' autorité_de_contrôle chef de file décide de traiter le cas, la procédure prévue à l'article 60 s'applique. L' autorité_de_contrôle qui a informé l' autorité_de_contrôle chef de file peut lui soumettre un projet de décision. L' autorité_de_contrôle chef de file tient le plus grand compte de ce projet lorsqu'elle élabore le projet de décision visé à l'article 60, paragraphe 3.

5. Lorsque l' autorité_de_contrôle chef de file décide de ne pas traiter le cas, l' autorité_de_contrôle qui l'a informée le traite conformément aux articles 61 et 62.

6. L' autorité_de_contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant.

Article 60

Coopération entre l' autorité_de_contrôle chef de file et les autres autorités de contrôle concernées

1. L' autorité_de_contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s'efforçant de parvenir à un consensus. L' autorité_de_contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2. L' autorité_de_contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l'article 61 et peut mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

3. L' autorité_de_contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tient dûment compte de leur point de vue.

4. Lorsqu'une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection_pertinente_et_motivée à l'égard du projet de décision, l' autorité_de_contrôle chef de file, si elle ne suit pas l' objection_pertinente_et_motivée ou si elle est d'avis que cette objection n'est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 63.

5. Lorsque l' autorité_de_contrôle chef de file entend suivre l' objection_pertinente_et_motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d'obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

6. Lorsqu'aucune des autres autorités de contrôle concernées n'a formulé d'objection à l'égard du projet de décision soumis par l' autorité_de_contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l' autorité_de_contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

7. L' autorité_de_contrôle chef de file adopte la décision, la notifie à l' établissement_principal ou à l'établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L' autorité_de_contrôle auprès de laquelle une réclamation a été introduite informe de la décision l'auteur de la réclamation.

8. Par dérogation au paragraphe 7, lorsqu'une réclamation est refusée ou rejetée, l' autorité_de_contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l'auteur de la réclamation et en informe le responsable du traitement.

9. Lorsque l' autorité_de_contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter certaines parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L' autorité_de_contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l' établissement_principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe l'auteur de la réclamation, tandis que l' autorité_de_contrôle de l'auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.

10. Après avoir été informé de la décision de l' autorité_de_contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l'Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l' autorité_de_contrôle chef de file, qui informe les autres autorités de contrôle concernées.

11. Lorsque, dans des circonstances exceptionnelles, une autorité_de_contrôle concernée a des raisons de considérer qu'il est urgent d'intervenir pour protéger les intérêts des personnes concernées, la procédure d'urgence visée à l'article 66 s'applique.

12. L' autorité_de_contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d'un formulaire type, les informations requises en vertu du présent article.

Article 61

Assistance mutuelle

1. Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d'appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L'assistance mutuelle concerne notamment les demandes d'informations et les mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et les enquêtes.

2. Chaque autorité_de_contrôle prend toutes les mesures appropriées requises pour répondre à une demande d'une autre autorité_de_contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre, notamment, la transmission d'informations utiles sur la conduite d'une enquête.

3. Les demandes d'assistances contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

4. Une autorité_de_contrôle requise ne peut refuser de satisfaire à une demande d'assistance, sauf si:

a)	elle n'est pas compétente pour traiter l'objet de la demande ou pour prendre les mesures qu'elle est requise d'exécuter; ou

b)	satisfaire à la demande constituerait une violation du présent règlement ou du droit de l'Union ou du droit de l'État membre auquel l' autorité_de_contrôle qui a reçu la demande est soumise.

5. L' autorité_de_contrôle requise informe l' autorité_de_contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement des mesures prises pour donner suite à la demande. L' autorité_de_contrôle requise explique les raisons de tout refus de satisfaire à une demande en application du paragraphe 4.

6. En règle générale, les autorités de contrôle requises communiquent par voie électronique et au moyen d'un formulaire type, les informations demandées par d'autres autorités de contrôle.

7. Les autorités de contrôle requises ne perçoivent pas de frais pour toute action qu'elles prennent à la suite d'une demande d'assistance mutuelle. Les autorités de contrôle peuvent convenir de règles concernant l'octroi de dédommagements entre elles pour des dépenses spécifiques résultant de la fourniture d'une assistance mutuelle dans des circonstances exceptionnelles.

8. Lorsqu'une autorité_de_contrôle ne fournit pas les informations visées au paragraphe 5 du présent article dans un délai d'un mois à compter de la réception de la demande formulée par une autre autorité_de_contrôle, l' autorité_de_contrôle requérante peut adopter une mesure provisoire sur le territoire de l'État membre dont elle relève conformément à l'article 55, paragraphe 1. Dans ce cas, les circonstances permettant de considérer qu'il est urgent d'intervenir conformément à l'article 66, paragraphe 1, sont réputées réunies et nécessitent une décision contraignante d'urgence du comité en application de l'article 66, paragraphe 2.

9. La Commission peut, par voie d'actes d'exécution, préciser la forme et les procédures de l'assistance mutuelle visée au présent article, ainsi que les modalités de l'échange d'informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité, notamment en ce qui concerne le formulaire type visé au paragraphe 6 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Article 68

Comité européen de la protection des données

1. Le comité européen de la protection des données (ci-après dénommé «comité») est institué en tant qu'organe de l'Union et possède la personnalité juridique.

2. Le comité est représenté par son président.

3. Le comité se compose du chef d'une autorité_de_contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs.

4. Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l'application des dispositions du présent règlement, un représentant commun est désigné conformément au droit de cet État membre.

5. La Commission a le droit de participer aux activités et réunions du comité sans droit de vote. La Commission désigne un représentant. Le président du comité informe la Commission des activités du comité.

6. Dans les cas visés à l'article 65, le Contrôleur européen de la protection des données ne dispose de droits de vote qu'à l'égard des décisions concernant des principes et règles applicables aux institutions, organes et organismes de l'Union qui correspondent, en substance, à ceux énoncés dans le présent règlement.

Article 70

Missions du comité

1. Le comité veille à l'application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:

a)	de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;

b)	de conseiller la Commission sur toute question relative à la protection des données_à_caractère_personnel dans l'Union, y compris sur tout projet de modification du présent règlement;

c)	de conseiller la Commission, en ce qui concerne les règles d' entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent;

de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données_à_caractère_personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l'article 17, paragraphe 2;

d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l'application cohérente du présent règlement;

f)	de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l'article 22, paragraphe 2;

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir les violations de données_à_caractère_personnel, de déterminer les meilleurs délais visés à l'article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données_à_caractère_personnel;

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l'article 34, paragraphe 1;

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données_à_caractère_personnel fondés sur des règles d' entreprise contraignantes appliquées par les responsables du traitement et sur des règles d' entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données_à_caractère_personnel des personnes concernées visées à l'article 47;

j)	de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données_à_caractère_personnel sur la base de l'article 49, paragraphe 1;

k)	d'élaborer, à l'intention des autorités de contrôle, des lignes directrices concernant l'application des mesures visées à l'article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l'article 83;

l)	de faire le bilan de l'application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f);

m)	de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l'article 54, paragraphe 2;

n)	d'encourager l'élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;

de procéder à l'agrément des organismes de certification et à l'examen périodique de cet agrément en vertu de l'article 43 et de tenir un registre public des organismes agréés en vertu de l'article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l'article 42, paragraphe 7;

p)	de définir les exigences visées à l'article 43, paragraphe 3, aux fins de l'agrément des organismes de certification prévu à l'article 42;

q)	de rendre à la Commission un avis sur les exigences en matière de certification visées à l'article 43, paragraphe 8;

r)	de rendre à la Commission un avis sur les icônes visées à l'article 12, paragraphe 7;

de rendre à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation_internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation_internationale n'assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l' organisation_internationale;

d'émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l'article 64, paragraphe 1, sur les questions soumises en vertu de l'article 64, paragraphe 2, et d'émettre des décisions contraignantes en vertu de l'article 65, y compris dans les cas visés à l'article 66;

u)	de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de bonnes pratiques entre les autorités de contrôle;

v)	de promouvoir l'élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

w)	de promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

x)	d'émettre des avis sur les codes de conduite élaborés au niveau de l'Union en application de l'article 40, paragraphe 9; et

y)	de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

2. Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l'urgence de la question.

3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 93, et les publie.

4. Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 76.

Article 77

Droit d'introduire une réclamation auprès d'une autorité_de_contrôle

1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité_de_contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données_à_caractère_personnel la concernant constitue une violation du présent règlement.

2. L' autorité_de_contrôle auprès de laquelle la réclamation a été introduite informe l'auteur de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'un recours juridictionnel en vertu de l'article 78.

Article 80

Représentation des personnes concernées

1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données_à_caractère_personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit.

2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l' autorité_de_contrôle qui est compétente en vertu de l'article 77, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.

Article 81

Suspension d'une action

1. Lorsqu'une juridiction compétente d'un État membre est informée qu'une action concernant le même objet a été intentée à l'égard d'un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d'un autre État membre, elle contacte cette juridiction dans l'autre État membre pour confirmer l'existence d'une telle action.

2. Lorsqu'une action concernant le même objet a été intentée à l'égard d'un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d'un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.

3. Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l'une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction.

Article 83

Conditions générales pour imposer des amendes administratives

1. Chaque autorité_de_contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants:

a)	la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi;

b)	le fait que la violation a été commise délibérément ou par négligence;

c)	toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d)	le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32;

e)	toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

f)	le degré de coopération établi avec l' autorité_de_contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;

g)	les catégories de données_à_caractère_personnel concernées par la violation;

h)	la manière dont l' autorité_de_contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

i)	lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j)	l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42; et

k)	toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3. Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d'opérations de traitement liées, le montant total de l'amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a)	les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;

b)	les obligations incombant à l'organisme de certification en vertu des articles 42 et 43;

c)	les obligations incombant à l'organisme chargé du suivi des codes de conduite en vertu de l'article 41, paragraphe 4.

5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu:

a)	les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

b)	les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22

c)	les transferts de données_à_caractère_personnel à un destinataire situé dans un pays tiers ou à une organisation_internationale en vertu des articles 44 à 49;

d)	toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;

e)	le non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l' autorité_de_contrôle en vertu de l'article 58, paragraphe 2, ou le fait de ne pas accorder l'accès prévu, en violation de l'article 58, paragraphe 1.

6. Le non-respect d'une injonction émise par l' autorité_de_contrôle en vertu de l'article 58, paragraphe 2, fait l'objet, conformément au paragraphe 2 du présent article, d'amendes administratives pouvant s'élever jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d'adoption de mesures correctrices en vertu de l'article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8. L'exercice, par l' autorité_de_contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

9. Si le système juridique d'un État membre ne prévoit pas d'amendes administratives, le présent article peut être appliqué de telle sorte que l'amende est déterminée par l' autorité_de_contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu'ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Article 84

Sanctions

1. Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l'objet des amendes administratives prévues à l'article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.

2. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

CHAPITRE IX

Dispositions relatives à des situations particulières de traitement

Article 85

Traitement et liberté d'expression et d'information

1. Les États membres concilient, par la loi, le droit à la protection des données_à_caractère_personnel au titre du présent règlement et le droit à la liberté d'expression et d'information, y compris le traitement à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire.

2. Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données_à_caractère_personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour concilier le droit à la protection des données_à_caractère_personnel et la liberté d'expression et d'information.

3. Chaque État membre notifie à la Commission les dispositions légales qu'il a adoptées en vertu du paragraphe 2 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Article 88

Traitement de données dans le cadre des relations de travail

1. Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données_à_caractère_personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l'employeur ou au client, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.

2. Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données_à_caractère_personnel au sein d'un groupe d' entreprises, ou d'un groupe d' entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

3. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

Article 90

Obligations de secret

1. Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle visés à l'article 58, paragraphe 1, points e) et f) à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d'autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données_à_caractère_personnel et l'obligation de secret. Ces règles ne sont applicables qu'en ce qui concerne les données_à_caractère_personnel que le responsable du traitement ou le sous-traitant a reçues ou a obtenues dans le cadre d'une activité couverte par ladite obligation de secret.

2. Chaque État membre notifie à la Commission les règles qu'il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018, et, sans tarder, toute modification ultérieure les concernant.

Article 99

Entrée en vigueur et application

1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

2. Il est applicable à partir du 25 mai 2018.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 27 avril 2016.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

J.A. HENNIS-PLASSCHAERT

(1) JO C 229 du 31.7.2012, p. 90.

(2) JO C 391 du 18.12.2012, p. 127.

(3) Position du Parlement européen du 12 mars 2014 (non encore parue au Journal officiel) et position du Conseil en première lecture du 8 avril 2016 (non encore parue au Journal officiel). Position du Parlement européen du 14 avril 2016.

(4) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(5) Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises [C(2003) 1422] (JO L 124 du 20.5.2003, p. 36).

(6) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(7) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (voir page 89 du présent Journal officiel).

(8) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178 du 17.7.2000, p. 1).

(9) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l'application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(10) Directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

(11) Règlement (CE) no 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

(12) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(13) Règlement (UE) no 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale (JO L 351 du 20.12.2012, p. 1).

(14) Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public (JO L 345 du 31.12.2003, p. 90).

(15) Règlement (UE) no 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE (JO L 158 du 27.5.2014, p. 1).

(16) Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 du Parlement européen et du Conseil relatif à la transmission à l'Office statistique des Communautés européennes d'informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).

(17) JO C 192 du 30.6.2012, p. 7.

(18) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données_à_caractère_personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(19) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (JO L 241 du 17.9.2015, p. 1).

(20) Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).

(21) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

whereas

(1) La protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel est un droit fondamental.
L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne (ci-après dénommée «Charte») et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données_à_caractère_personnel la concernant.

- = -

(2) Les principes et les règles régissant la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux, en particulier leur droit à la protection des données_à_caractère_personnel.
Le présent règlement vise à contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques.

- = -

(6) L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données_à_caractère_personnel.
L'ampleur de la collecte et du partage de données_à_caractère_personnel a augmenté de manière importante.
Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les données_à_caractère_personnel comme jamais auparavant dans le cadre de leurs activités.
De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial.
Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données_à_caractère_personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données_à_caractère_personnel.

- = -

(7) Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur.
Les personnes physiques devraient avoir le contrôle des données_à_caractère_personnel les concernant.
La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques.

- = -

(16) Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données_à_caractère_personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale.
Le présent règlement ne s'applique pas au traitement des données_à_caractère_personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.

- = -

(20) Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données_à_caractère_personnel par les juridictions et autres autorités judiciaires.
La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données_à_caractère_personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions.
Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

- = -

(24) Le traitement de données_à_caractère_personnel de personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union.
Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données_à_caractère_personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.

- = -

(26) Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable.
Les données_à_caractère_personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable.
Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage.
Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci.
Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données_à_caractère_personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.
Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

- = -

(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données_à_caractère_personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale.
Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données_à_caractère_personnel.
Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité.
Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités.
Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles.
Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

- = -

(35) Les données_à_caractère_personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée.
Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données_génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro.

- = -

(39) Tout traitement de données_à_caractère_personnel devrait être licite et loyal.
Le fait que des données_à_caractère_personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées.
Le principe de transparence exige que toute information et communication relatives au traitement de ces données_à_caractère_personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.
Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données_à_caractère_personnel les concernant qui font l'objet d'un traitement.
Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données_à_caractère_personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement.
En particulier, les finalités spécifiques du traitement des données_à_caractère_personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données_à_caractère_personnel.
Les données_à_caractère_personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées.
Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum.
Les données_à_caractère_personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens.
Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.
Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données_à_caractère_personnel qui sont inexactes sont rectifiées ou supprimées.
Les données_à_caractère_personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

- = -

(53) Les catégories particulières de données_à_caractère_personnel qui méritent une protection plus élevée ne devraient être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale, y compris le traitement, par les autorités de gestion et les autorités centrales de santé nationales, de ces données, en vue du contrôle de la qualité, de l'information des gestionnaires et de la supervision générale, au niveau national et local, du système de soins de santé ou de protection sociale et en vue d'assurer la continuité des soins de santé ou de la protection sociale et des soins de santé transfrontaliers ou à des fins de sécurité, de surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l'Union ou du droit des États membres qui doit répondre à un objectif d'intérêt public, ainsi que pour des études menées dans l'intérêt public dans le domaine de la santé publique.
Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données_à_caractère_personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel.
Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données_à_caractère_personnel des personnes physiques.
Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données_génétiques, des données_biométriques ou des données_concernant_la_santé.
Toutefois, cela ne devrait pas entraver le libre flux des données_à_caractère_personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.

- = -

(54) Le traitement des catégories particulières de données_à_caractère_personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée.
Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques.
Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité.
De tels traitements de données_concernant_la_santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données_à_caractère_personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.

- = -

(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu, illustrée à l'aide d'éléments visuels.
Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public.
Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données_à_caractère_personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne.
Les enfants méritant une protection spécifique, toute information et communication, lorsque le traitement les concerne, devraient être rédigées en des termes clairs et simples que l'enfant peut aisément comprendre.

- = -

(63) Une personne concernée devrait avoir le droit d'accéder aux données_à_caractère_personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d'en vérifier la licéité.
Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés.
En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données_à_caractère_personnel, si possible la durée du traitement de ces données_à_caractère_personnel, l'identité des destinataires de ces données_à_caractère_personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.
Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données_à_caractère_personnel la concernant.
Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel.
Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d'informations à la personne concernée.
Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

- = -

(65) Les personnes concernées devraient avoir le droit de faire rectifier des données_à_caractère_personnel les concernant, et disposer d'un «droit à l'oubli» lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis.
En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données_à_caractère_personnel soient effacées et ne soient plus traitées, lorsque ces données_à_caractère_personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données_à_caractère_personnel les concernant, ou encore lorsque le traitement de leurs données_à_caractère_personnel ne respecte pas d'une autre manière le présent règlement.
Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n'était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données_à_caractère_personnel, en particulier sur l'internet.
La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant.
Toutefois, la conservation ultérieure des données_à_caractère_personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou à la défense de droits en justice.

- = -

(68) Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données_à_caractère_personnel font l'objet d'un traitement automatisé, de recevoir les données_à_caractère_personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement.
Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données.
Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données_à_caractère_personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l'exécution d'un contrat.
Il ne devrait pas s'appliquer lorsque le traitement est fondé sur un motif légal autre que le consentement ou l'exécution d'un contrat.
De par sa nature même, ce droit ne devrait pas être exercé à l'encontre de responsables du traitement qui traitent des données_à_caractère_personnel dans l'exercice de leurs missions publiques.
Il ne devrait dès lors pas s'appliquer lorsque le traitement des données_à_caractère_personnel est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
Le droit de la personne concernée de transmettre ou de recevoir des données_à_caractère_personnel la concernant ne devrait pas créer, pour les responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles.
Lorsque, dans un ensemble de données_à_caractère_personnel, plusieurs personnes sont concernées, le droit de recevoir les données_à_caractère_personnel devrait s'entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement.
De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d'obtenir l'effacement de données_à_caractère_personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l'effacement de données_à_caractère_personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données_à_caractère_personnel sont nécessaires à l'exécution de ce contrat.
Lorsque c'est techniquement possible, la personne concernée devrait avoir le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre.

- = -

(71) La personne concernée devrait avoir le droit de ne pas faire l'objet d'une décision, qui peut comprendre une mesure, impliquant l'évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d'un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l'affecte de manière significative, tels que le rejet automatique d'une demande de crédit en ligne ou des pratiques de recrutement en ligne sans aucune intervention humaine.
Ce type de traitement inclut le « profilage» qui consiste en toute forme de traitement automatisé de données_à_caractère_personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d'intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu'il produit des effets juridiques concernant la personne en question ou qu'il l'affecte de façon similaire de manière significative.
Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu'elle est expressément autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis, y compris aux fins de contrôler et de prévenir les fraudes et l'évasion fiscale conformément aux règles, normes et recommandations des institutions de l'Union ou des organes de contrôle nationaux, et d'assurer la sécurité et la fiabilité d'un service fourni par le responsable du traitement, ou nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement, ou si la personne concernée a donné son consentement explicite.
En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d'obtenir une intervention humaine, d'exprimer son point de vue, d'obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et de contester la décision.
Cette mesure ne devrait pas concerner un enfant.

- = -

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données_à_caractère_personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données_à_caractère_personnel; lorsque le traitement concerne des données_à_caractère_personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données_génétiques, des données_concernant_la_santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données_à_caractère_personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données_à_caractère_personnel et touche un nombre important de personnes concernées.

- = -

(88) Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données_à_caractère_personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données_à_caractère_personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus.
Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données_à_caractère_personnel.

- = -

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée.
Ces garanties peuvent consister à recourir à des règles d' entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité_de_contrôle ou des clauses contractuelles autorisées par une autorité_de_contrôle.
Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d'introduire une action en réparation, dans l'Union ou dans un pays tiers.
Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données_à_caractère_personnel et des principes de protection des données dès la conception et de protection des données par défaut.
Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées.
L'autorisation de l' autorité_de_contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

- = -

(125) L'autorité chef de file devrait être compétente pour adopter des décisions contraignantes concernant les mesures visant à mettre en œuvre les pouvoirs qui lui sont conférés conformément au présent règlement.
En sa qualité d'autorité chef de file, l' autorité_de_contrôle devrait associer de près les autorités de contrôle concernées au processus décisionnel et assurer une coordination étroite dans ce cadre.
Lorsque qu'il est décidé de rejeter, en tout ou en partie, la réclamation introduite par la personne concernée, cette décision devrait être adoptée par l' autorité_de_contrôle auprès de laquelle la réclamation a été introduite.

- = -

(144) Lorsqu'une juridiction saisie d'une action contre une décision prise par une autorité_de_contrôle a des raisons de croire que des actions concernant le même traitement, portant par exemple sur le même objet, effectué par le même responsable du traitement ou le même sous-traitant, ou encore la même cause, sont introduites devant une juridiction compétente d'un autre État membre, il convient qu'elle contacte cette autre juridiction afin de confirmer l'existence de telles actions connexes.
Si des actions connexes sont pendantes devant une juridiction d'un autre État membre, toute juridiction autre que celle qui a été saisie en premier peut surseoir à statuer ou peut, à la demande de l'une des parties, se dessaisir au profit de la juridiction saisie en premier si celle-ci est compétente pour connaître de l'action concernée et que le droit dont elle relève permet de regrouper de telles actions connexes.
Sont réputées connexes, les actions qui sont à ce point étroitement liées qu'il y a intérêt à les instruire et à les juger en même temps afin d'éviter que ne soient rendues des décisions inconciliables, issues de procédures séparées.

- = -

(154) Le présent règlement permet de prendre en compte, dans son application, le principe de l'accès du public aux documents officiels.
L'accès du public aux documents officiels peut être considéré comme étant dans l'intérêt public.
Les données_à_caractère_personnel figurant dans des documents détenus par une autorité publique ou un organisme public devraient pouvoir être rendues publiques par ladite autorité ou ledit organisme si cette communication est prévue par le droit de l'Union ou le droit de l'État membre dont relève l'autorité publique ou l'organisme public.
Ces dispositions légales devraient concilier l'accès du public aux documents officiels et la réutilisation des informations du secteur public, d'une part, et le droit à la protection des données_à_caractère_personnel, d'autre part, et peuvent dès lors prévoir la conciliation nécessaire avec le droit à la protection des données_à_caractère_personnel en vertu du présent règlement.
Dans ce contexte, il convient d'entendre par «autorités publiques et organismes publics», toutes les autorités ou autres organismes relevant du droit d'un État membre en matière d'accès du public aux documents.
La directive 2003/98/CE du Parlement européen et du Conseil (14) laisse intact et n'affecte en rien le niveau de protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel garanti par les dispositions du droit de l'Union et du droit des États membres et, en particulier, ne modifie en rien les droits et obligations prévus dans le présent règlement.
En particulier, ladite directive ne devrait pas s'appliquer aux documents dont l'accès est exclu ou limité en application de règles d'accès pour des motifs de protection des données_à_caractère_personnel, et aux parties de documents accessibles en vertu desdites règles qui contiennent des données_à_caractère_personnel dont la réutilisation a été prévue par la loi comme étant incompatible avec la législation concernant la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel.

- = -

(156) Le traitement des données_à_caractère_personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement.
Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données.
Le traitement ultérieur de données_à_caractère_personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données).
Les États membres devraient prévoir des garanties appropriées pour le traitement de données_à_caractère_personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données_à_caractère_personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données_à_caractère_personnel conformément aux principes de proportionnalité et de nécessité.
Le traitement de données_à_caractère_personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.

- = -

(162) Lorsque des données_à_caractère_personnel sont traitées à des fins statistiques, le présent règlement devrait s'appliquer à ce traitement.
Le droit de l'Union ou le droit des États membres devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle de l'accès aux données et arrêter des dispositions particulières pour le traitement de données_à_caractère_personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique.
Par «fins statistiques», on entend toute opération de collecte et de traitement de données_à_caractère_personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques.
Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de recherche scientifique.
Les fins statistiques impliquent que le résultat du traitement à des fins statistiques ne constitue pas des données_à_caractère_personnel mais des données agrégées, et que ce résultat ou ces données_à_caractère_personnel ne sont pas utilisés à l'appui de mesures ou de décisions concernant une personne physique en particulier.

- = -

dal 2004 diritto e informatica