interactive GDPR 2016/0679 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- données à caractère personnel
- traitement
- limitation du traitement
- profilage
- pseudonymisation
- fichier
- responsable du traitement
- sous-traitant
- destinataire
- tiers
- consentement
- violation de données à caractère personnel
- données génétiques
- données biométriques
- données concernant la santé
- établissement principal
- représentant
- entreprise
- groupe d'entreprises
- règles d'entreprise contraignantes
- autorité de contrôle
- autorité de contrôle concernée
- traitement transfrontalier
- objection pertinente et motivée
- service de la société de l'information
- organisation internationale
- article 55
- paragraphe 35
- application 30
- présent 28
- traitement 26
- règlement 20
- dans 18
- conformément 18
- protection 17
- données_à_caractère_personnel 16
- certification 16
- contrôle 15
- autorité_de_contrôle 15
- autorités 14
- visées 13
- pratiques 13
- responsable 12
- membre 12
- lignes 11
- bonnes 11
- droit 11
- commission 11
- directrices 11
- vertu 11
- État 10
- recommandations 10
- sous-traitant 10
- comité 10
- mesures 9
- pour 9
- pays 9
- avis 9
- données 9
- avec 9
- compris 8
- pouvoirs 8
- échéant 8
- autres 8
- demande 8
- ordonner 8
- organisme 8
- toute 8
- tiers 8
- publier 8
- ainsi 7
- missions 7
- public 7
- codes 7
- conduite 7
- membres 7
Article 53
Conditions générales applicables aux membres de l' autorité_de_contrôle
1. Les États membres prévoient que chacun des membres de leurs autorités de contrôle est nommé selon une procédure transparente par:
| — | leur parlement; |
| — | leur gouvernement; |
| — | leur chef d'État; ou |
| — | un organisme indépendant chargé de procéder à la nomination en vertu du le droit de l'État membre |
2. Chaque membre a les qualifications, l'expérience et les compétences nécessaires, notamment dans le domaine de la protection des données_à_caractère_personnel, pour l'exercice de ses fonctions et de ses pouvoirs.
3. Les fonctions d'un membre prennent fin à l'échéance de son mandat, en cas de démission ou de mise à la retraite d'office, conformément au droit de l'État membre concerné.
4. Un membre ne peut être démis de ses fonctions que s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.
Article 57
Missions
1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité_de_contrôle, sur son territoire:
| a) | contrôle l'application du présent règlement et veille au respect de celui-ci; |
| b) | favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière; |
| c) | conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement; |
| d) | encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement; |
| e) | fournit, sur demande, à toute personne concernée des informations sur l'exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d'autres États membres; |
| f) | traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l'article 80, examine l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité_de_contrôle est nécessaire; |
| g) | coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect; |
| h) | effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité_de_contrôle ou d'une autre autorité publique; |
| i) | suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données_à_caractère_personnel, notamment dans le domaine des technologies de l'information et de la communication et des pratiques commerciales; |
| j) | adopte les clauses contractuelles types visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d); |
| k) | établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact relative à la protection des données en application de l'article 35, paragraphe 4; |
| l) | fournit des conseils sur les opérations de traitement visées à l'article 36, paragraphe 2; |
| m) | encourage l'élaboration de codes de conduite en application de l'article 40, paragraphe 1, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l'article 40, paragraphe 5; |
| n) | encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l'article 42, paragraphe 1, et approuve les critères de certification en application de l'article 42, paragraphe 5; |
| o) | procède, le cas échéant, à l'examen périodique des certifications délivrées conformément à l'article 42, paragraphe 7; |
| p) | rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43; |
| q) | procède à l'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43; |
| r) | autorise les clauses contractuelles et les dispositions visées à l'article 46, paragraphe 3; |
| s) | approuve les règles d' entreprise contraignantes en application de l'article 47; |
| t) | contribue aux activités du comité; |
| u) | tient des registres internes des violations au présent règlement et des mesures prises conformément à l'article 58, paragraphe 2; et |
| v) | s'acquitte de toute autre mission relative à la protection des données_à_caractère_personnel. |
2. Chaque autorité_de_contrôle facilite l'introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d'autres moyens de communication ne soient exclus.
3. L'accomplissement des missions de chaque autorité_de_contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.
4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l' autorité_de_contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l' autorité_de_contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.
Article 58
Pouvoirs
1. Chaque autorité_de_contrôle dispose de tous les pouvoirs d'enquête suivants:
| a) | ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions; |
| b) | mener des enquêtes sous la forme d'audits sur la protection des données; |
| c) | procéder à un examen des certifications délivrées en application de l'article 42, paragraphe 7; |
| d) | notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement; |
| e) | obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données_à_caractère_personnel et à toutes les informations nécessaires à l'accomplissement de ses missions; |
| f) | obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres. |
2. Chaque autorité_de_contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes:
| a) | avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement; |
| b) | rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement; |
| c) | ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits en application du présent règlement; |
| d) | ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé; |
| e) | ordonner au responsable du traitement de communiquer à la personne concernée une violation de données_à_caractère_personnel; |
| f) | imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement; |
| g) | ordonner la rectification ou l'effacement de données_à_caractère_personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données_à_caractère_personnel ont été divulguées en application de l'article 17, paragraphe 2, et de l'article 19; |
| h) | retirer une certification ou ordonner à l'organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l'organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites; |
| i) | imposer une amende administrative en application de l'article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas; |
| j) | ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation_internationale. |
3. Chaque autorité_de_contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants:
| a) | conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 36; |
| b) | émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données_à_caractère_personnel; |
| c) | autoriser le traitement visé à l'article 36, paragraphe 5, si le droit de l'État membre exige une telle autorisation préalable; |
| d) | rendre un avis sur les projets de codes de conduite et les approuver en application de l'article 40, paragraphe 5; |
| e) | agréer des organismes de certification en application de l'article 43; |
| f) | délivrer des certifications et approuver des critères de certification conformément à l'article 42, paragraphe 5; |
| g) | adopter les clauses types de protection des données visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d); |
| h) | autoriser les clauses contractuelles visées à l'article 46, paragraphe 3, point a); |
| i) | autoriser les arrangements administratifs visés à l'article 46, paragraphe 3, point b); |
| j) | approuver les règles d' entreprise contraignantes en application de l'article 47. |
4. L'exercice des pouvoirs conférés à l' autorité_de_contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte.
5. Chaque État membre prévoit, par la loi, que son autorité_de_contrôle a le pouvoir de porter toute violation du présent règlement à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire appliquer les dispositions du présent règlement.
6. Chaque État membre peut prévoir, par la loi, que son autorité_de_contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L'exercice de ces pouvoirs n'entrave pas le bon fonctionnement du chapitre VII.
Article 59
Rapports d'activité
Chaque autorité_de_contrôle établit un rapport annuel sur ses activités, qui peut comprendre une liste des types de violations notifiées et des types de mesures prises conformément à l'article 58, paragraphe 2. Ces rapports sont transmis au parlement national, au gouvernement et à d'autres autorités désignées par le droit de l'État membre. Ils sont mis à la disposition du public, de la Commission et du comité.
CHAPITRE VII
Coopération et cohérence
Article 70
Missions du comité
1. Le comité veille à l'application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:
| a) | de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales; |
| b) | de conseiller la Commission sur toute question relative à la protection des données_à_caractère_personnel dans l'Union, y compris sur tout projet de modification du présent règlement; |
| c) | de conseiller la Commission, en ce qui concerne les règles d' entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent; |
| d) | de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données_à_caractère_personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l'article 17, paragraphe 2; |
| e) | d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l'application cohérente du présent règlement; |
| f) | de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l'article 22, paragraphe 2; |
| g) | de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir les violations de données_à_caractère_personnel, de déterminer les meilleurs délais visés à l'article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données_à_caractère_personnel; |
| h) | de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l'article 34, paragraphe 1; |
| i) | de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données_à_caractère_personnel fondés sur des règles d' entreprise contraignantes appliquées par les responsables du traitement et sur des règles d' entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données_à_caractère_personnel des personnes concernées visées à l'article 47; |
| j) | de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données_à_caractère_personnel sur la base de l'article 49, paragraphe 1; |
| k) | d'élaborer, à l'intention des autorités de contrôle, des lignes directrices concernant l'application des mesures visées à l'article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l'article 83; |
| l) | de faire le bilan de l'application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f); |
| m) | de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l'article 54, paragraphe 2; |
| n) | d'encourager l'élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42; |
| o) | de procéder à l'agrément des organismes de certification et à l'examen périodique de cet agrément en vertu de l'article 43 et de tenir un registre public des organismes agréés en vertu de l'article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l'article 42, paragraphe 7; |
| p) | de définir les exigences visées à l'article 43, paragraphe 3, aux fins de l'agrément des organismes de certification prévu à l'article 42; |
| q) | de rendre à la Commission un avis sur les exigences en matière de certification visées à l'article 43, paragraphe 8; |
| r) | de rendre à la Commission un avis sur les icônes visées à l'article 12, paragraphe 7; |
| s) | de rendre à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation_internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation_internationale n'assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l' organisation_internationale; |
| t) | d'émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l'article 64, paragraphe 1, sur les questions soumises en vertu de l'article 64, paragraphe 2, et d'émettre des décisions contraignantes en vertu de l'article 65, y compris dans les cas visés à l'article 66; |
| u) | de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de bonnes pratiques entre les autorités de contrôle; |
| v) | de promouvoir l'élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales; |
| w) | de promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données; |
| x) | d'émettre des avis sur les codes de conduite élaborés au niveau de l'Union en application de l'article 40, paragraphe 9; et |
| y) | de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence. |
2. Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l'urgence de la question.
3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 93, et les publie.
4. Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 76.
whereas
dal 2004 diritto e informatica