interactive GDPR 2016/0679 FR

1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel et des règles relatives à la libre circulation de ces données.

2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données_à_caractère_personnel.

3. La libre circulation des données_à_caractère_personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel.

Article 4

Définitions

Aux fins du présent règlement, on entend par:

« données_à_caractère_personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

« traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données_à_caractère_personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

3)	«limitation du traitement», le marquage de données_à_caractère_personnel conservées, en vue de limiter leur traitement futur;

« profilage», toute forme de traitement automatisé de données_à_caractère_personnel consistant à utiliser ces données_à_caractère_personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

« pseudonymisation», le traitement de données_à_caractère_personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données_à_caractère_personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

6)	« fichier», tout ensemble structuré de données_à_caractère_personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

«responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;

8)	« sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données_à_caractère_personnel pour le compte du responsable du traitement;

« destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données_à_caractère_personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données_à_caractère_personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

10)

« tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données_à_caractère_personnel;

11)	« consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données_à_caractère_personnel la concernant fassent l'objet d'un traitement;

12)

«violation de données_à_caractère_personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données_à_caractère_personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;

13)

« données_génétiques», les données_à_caractère_personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;

14)

« données_biométriques», les données_à_caractère_personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

15)	« données_concernant_la_santé», les données_à_caractère_personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;

16)

« établissement_principal»,

en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données_à_caractère_personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l' établissement_principal;

en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

17)	« représentant», une personne physique ou morale établie dans l'Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l'article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

18)	« entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

19)	«groupe d' entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

20)

«règles d' entreprise contraignantes», les règles internes relatives à la protection des données_à_caractère_personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données_à_caractère_personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d' entreprises, ou d'un groupe d' entreprises engagées dans une activité économique conjointe;

21)	« autorité_de_contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51;

22)

« autorité_de_contrôle concernée», une autorité_de_contrôle qui est concernée par le traitement de données_à_caractère_personnel parce que:

a)	le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité_de_contrôle relève;

b)	des personnes concernées résidant dans l'État membre de cette autorité_de_contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être; ou

c)	une réclamation a été introduite auprès de cette autorité_de_contrôle;

23)

« traitement transfrontalier»,

a)	un traitement de données_à_caractère_personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou

un traitement de données_à_caractère_personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;

24)

« objection_pertinente_et_motivée», une objection à un projet de décision quant à savoir s'il y a ou non violation du présent règlement ou si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l'importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données_à_caractère_personnel au sein de l'Union;

25)	« service_de_la_société_de_l'information», un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (19);

26)	« organisation_internationale», une organisation_internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.

CHAPITRE II

Principes

Article 5

Principes relatifs au traitement des données_à_caractère_personnel

1. Les données_à_caractère_personnel doivent être:

a)	traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c)	adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d)	exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données_à_caractère_personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données_à_caractère_personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

traitées de façon à garantir une sécurité appropriée des données_à_caractère_personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Article 6

Licéité du traitement

1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a)	la personne concernée a consenti au traitement de ses données_à_caractère_personnel pour une ou plusieurs finalités spécifiques;

b)	le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c)	le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d)	le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

e)	le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données_à_caractère_personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d'autres mesures visant à garantir un traitement licite et loyal, y compris dans d'autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a)	le droit de l'Union; ou

b)	le droit de l'État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l'application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l'objet du traitement; les personnes concernées; les entités auxquelles les données_à_caractère_personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d'autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l'Union ou le droit des États membres répond à un objectif d'intérêt public et est proportionné à l'objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données_à_caractère_personnel ont été initialement collectées, tient compte, entre autres:

a)	de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données_à_caractère_personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b)	du contexte dans lequel les données_à_caractère_personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

de la nature des données_à_caractère_personnel, en particulier si le traitement porte sur des catégories particulières de données_à_caractère_personnel, en vertu de l'article 9, ou si des données_à_caractère_personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;

d)	des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e)	de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Article 9

Traitement portant sur des catégories particulières de données_à_caractère_personnel

1. Le traitement des données_à_caractère_personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données_génétiques, des données_biométriques aux fins d'identifier une personne physique de manière unique, des données_concernant_la_santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:

la personne concernée a donné son consentement explicite au traitement de ces données_à_caractère_personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c)	le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données_à_caractère_personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e)	le traitement porte sur des données_à_caractère_personnel qui sont manifestement rendues publiques par la personne concernée;

f)	le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3. Les données_à_caractère_personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données_génétiques, des données_biométriques ou des données_concernant_la_santé.

Article 10

Traitement des données_à_caractère_personnel relatives aux condamnations pénales et aux infractions

Le traitement des données_à_caractère_personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un 'État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

Article 14

Informations à fournir lorsque les données_à_caractère_personnel n'ont pas été collectées auprès de la personne concernée

1. Lorsque les données_à_caractère_personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a)	l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b)	le cas échéant, les coordonnées du délégué à la protection des données;

c)	les finalités du traitement auquel sont destinées les données_à_caractère_personnel ainsi que la base juridique du traitement;

d)	les catégories de données_à_caractère_personnel concernées;

e)	le cas échéant, les destinataires ou les catégories de destinataires des données_à_caractère_personnel;

le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données_à_caractère_personnel à un destinataire dans un pays tiers ou une organisation_internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:

a)	la durée pendant laquelle les données_à_caractère_personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

b)	lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

l'existence du droit de demander au responsable du traitement l'accès aux données_à_caractère_personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;

d)	lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e)	le droit d'introduire une réclamation auprès d'une autorité_de_contrôle;

f)	la source d'où proviennent les données_à_caractère_personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;

g)	l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a)	dans un délai raisonnable après avoir obtenu les données_à_caractère_personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données_à_caractère_personnel sont traitées;

b)	si les données_à_caractère_personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c)	s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données_à_caractère_personnel sont communiquées pour la première fois.

4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données_à_caractère_personnel pour une finalité autre que celle pour laquelle les données_à_caractère_personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:

a)	la personne concernée dispose déjà de ces informations;

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c)	l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d)	les données_à_caractère_personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 15

Droit d'accès de la personne concernée

1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données_à_caractère_personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données_à_caractère_personnel ainsi que les informations suivantes:

a)	les finalités du traitement;

b)	les catégories de données_à_caractère_personnel concernées;

c)	les destinataires ou catégories de destinataires auxquels les données_à_caractère_personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d)	lorsque cela est possible, la durée de conservation des données_à_caractère_personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;

e)	l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données_à_caractère_personnel, ou une limitation du traitement des données_à_caractère_personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;

f)	le droit d'introduire une réclamation auprès d'une autorité_de_contrôle;

g)	lorsque les données_à_caractère_personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h)	l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données_à_caractère_personnel sont transférées vers un pays tiers ou à une organisation_internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données_à_caractère_personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.

4. Le droit d'obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d'autrui.

Section 3

Rectification et effacement

Article 17

Droit à l'effacement («droit à l'oubli»)

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données_à_caractère_personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données_à_caractère_personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:

a)	les données_à_caractère_personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;

b)	la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;

c)	la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;

d)	les données_à_caractère_personnel ont fait l'objet d'un traitement illicite;

e)	les données_à_caractère_personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;

f)	les données_à_caractère_personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

2. Lorsqu'il a rendu publiques les données_à_caractère_personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données_à_caractère_personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données_à_caractère_personnel, ou de toute copie ou reproduction de celles-ci.

3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire:

a)	à l'exercice du droit à la liberté d'expression et d'information;

pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

c)	pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;

à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e)	à la constatation, à l'exercice ou à la défense de droits en justice.

Article 20

Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données_à_caractère_personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données_à_caractère_personnel ont été communiquées y fasse obstacle, lorsque:

a)	le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et

b)	le traitement est effectué à l'aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données_à_caractère_personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L'exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Section 4

Droit d'opposition et prise de décision individuelle automatisée

Article 21

Droit d'opposition

1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données_à_caractère_personnel la concernant fondé sur l'article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données_à_caractère_personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

2. Lorsque les données_à_caractère_personnel sont traitées à des fins de prospection, la personne concernée a le droit de s'opposer à tout moment au traitement des données_à_caractère_personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3. Lorsque la personne concernée s'oppose au traitement à des fins de prospection, les données_à_caractère_personnel ne sont plus traitées à ces fins.

4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l'attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5. Dans le cadre de l'utilisation de services de la société de l'information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d'opposition à l'aide de procédés automatisés utilisant des spécifications techniques.

6. Lorsque des données_à_caractère_personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l'article 89, paragraphe 1, la personne concernée a le droit de s'opposer, pour des raisons tenant à sa situation particulière, au traitement de données_à_caractère_personnel la concernant, à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public.

Article 22

Décision individuelle automatisée, y compris le profilage

1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision:

a)	est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;

b)	est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c)	est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données_à_caractère_personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Section 5

Limitations

Article 23

Limitations

1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a)	la sécurité nationale;

b)	la défense nationale;

c)	la sécurité publique;

d)	la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e)	d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f)	la protection de l'indépendance de la justice et des procédures judiciaires;

g)	la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h)	une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) à e) et g);

i)	la protection de la personne concernée ou des droits et libertés d'autrui;

j)	l'exécution des demandes de droit civil.

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a)	aux finalités du traitement ou des catégories de traitement;

b)	aux catégories de données_à_caractère_personnel;

c)	à l'étendue des limitations introduites;

d)	aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites;

e)	à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f)	aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g)	aux risques pour les droits et libertés des personnes concernées; et

h)	au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

CHAPITRE IV

Responsable du traitement et sous-traitant

Section 1

Obligations générales

Article 24

Responsabilité du responsable du traitement

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des obligations incombant au responsable du traitement.

Article 25

Protection des données dès la conception et protection des données par défaut

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données_à_caractère_personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données_à_caractère_personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données_à_caractère_personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Article 27

Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union.

2. L'obligation prévue au paragraphe 1 du présent article ne s'applique pas:

à un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données_à_caractère_personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

b)	à une autorité publique ou à un organisme public;

3. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données_à_caractère_personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.

4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.

5. La désignation d'un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Article 30

Registre des activités de traitement

1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a)	le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b)	les finalités du traitement;

c)	une description des catégories de personnes concernées et des catégories de données_à_caractère_personnel;

d)	les catégories de destinataires auxquels les données_à_caractère_personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

le cas échéant, les transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale, y compris l'identification de ce pays tiers ou de cette organisation_internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;

f)	dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;

g)	dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b)	les catégories de traitements effectués pour le compte de chaque responsable du traitement;

d)	dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l' autorité_de_contrôle sur demande.

5. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données_à_caractère_personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Article 32

Sécurité du traitement

a)	la pseudonymisation et le chiffrement des données_à_caractère_personnel;

b)	des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c)	des moyens permettant de rétablir la disponibilité des données_à_caractère_personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d)	une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données_à_caractère_personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données_à_caractère_personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Article 33

Notification à l' autorité_de_contrôle d'une violation de données_à_caractère_personnel

1. En cas de violation de données_à_caractère_personnel, le responsable du traitement en notifie la violation en question à l' autorité_de_contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l' autorité_de_contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données_à_caractère_personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a)	décrire la nature de la violation de données_à_caractère_personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données_à_caractère_personnel concernés;

b)	communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)	décrire les conséquences probables de la violation de données_à_caractère_personnel;

d)	décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données_à_caractère_personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données_à_caractère_personnel, en indiquant les faits concernant la violation des données_à_caractère_personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l' autorité_de_contrôle de vérifier le respect du présent article.

Article 34

Communication à la personne concernée d'une violation de données_à_caractère_personnel

1. Lorsqu'une violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données_à_caractère_personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données_à_caractère_personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données_à_caractère_personnel affectées par ladite violation, en particulier les mesures qui rendent les données_à_caractère_personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;

b)	le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;

c)	elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données_à_caractère_personnel la concernant, l' autorité_de_contrôle peut, après avoir examiné si cette violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

Section 3

Analyse d'impact relative à la protection des donnés et consultation préalable

Article 35

Analyse d'impact relative à la protection des données

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données_à_caractère_personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3. L'analyse d'impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire;

b)	le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données_à_caractère_personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c)	la surveillance systématique à grande échelle d'une zone accessible au public.

4. L' autorité_de_contrôle établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément au paragraphe 1. L' autorité_de_contrôle communique ces listes au comité visé à l'article 68.

5. L' autorité_de_contrôle peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise. L' autorité_de_contrôle communique cette liste au comité.

6. Avant d'adopter les listes visées aux paragraphes 4 et 5, l' autorité_de_contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l'article 63, lorsque ces listes comprennent des activités de traitement liées à l'offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données_à_caractère_personnel au sein de l'Union.

7. L'analyse contient au moins:

a)	une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;

b)	une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c)	une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données_à_caractère_personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l'article 40 est dûment pris en compte lors de l'évaluation de l'impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l'article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Article 36

Consultation préalable

1. Le responsable du traitement consulte l' autorité_de_contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2. Lorsque l' autorité_de_contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l' autorité_de_contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L' autorité_de_contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l' autorité_de_contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l' autorité_de_contrôle en application du paragraphe 1, il lui communique:

a)	le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d' entreprises;

b)	les finalités et les moyens du traitement envisagé;

c)	les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d)	le cas échéant, les coordonnées du délégué à la protection des données;

e)	l'analyse d'impact relative à la protection des données prévue à l'article 35; et

f)	toute autre information que l' autorité_de_contrôle demande.

4. Les États membres consultent l' autorité_de_contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l' autorité_de_contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Section 4

Délégué à la protection des données

Article 45

Transferts fondés sur une décision d'adéquation

1. Un transfert de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l' organisation_internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données_à_caractère_personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données_à_caractère_personnel vers un autre pays tiers ou à une autre organisation_internationale qui sont respectées dans le pays tiers ou par l' organisation_internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données_à_caractère_personnel sont transférées;

l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation_internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

les engagements internationaux pris par le pays tiers ou l' organisation_internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données_à_caractère_personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d'actes d'exécution, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation_internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme d'examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l' organisation_internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b), du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE.

5. Lorsque les informations disponibles révèlent, en particulier à l'issue de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation_internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d'actes d'exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Pour des raisons d'urgence impérieuses dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables en conformité avec la procédure visée à l'article 93, paragraphe 3.

6. La Commission engage des consultations avec le pays tiers ou l' organisation_internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données_à_caractère_personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l' organisation_internationale en question, effectués en application des articles 46 à 49.

8. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat est ou n'est plus assuré.

9. Les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.

Article 49

Dérogations pour des situations particulières

1. En l'absence de décision d'adéquation en vertu de l'article 45, paragraphe 3, ou de garanties appropriées en vertu de l'article 46, y compris des règles d' entreprise contraignantes, un transfert ou un ensemble de transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale ne peut avoir lieu qu'à l'une des conditions suivantes:

a)	la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées;

b)	le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;

c)	le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;

d)	le transfert est nécessaire pour des motifs importants d'intérêt public;

e)	le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice;

f)	le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;

le transfert a lieu au départ d'un registre qui, conformément au droit de l'Union ou au droit d'un État membre, est destiné à fournir des 'informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d'un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l'Union ou le droit de l'État membre sont remplies dans le cas d'espèce.

Lorsqu'un transfert ne peut pas être fondé sur une disposition de l'article 45 ou 46, y compris les dispositions relatives aux règles d' entreprise contraignantes, et qu'aucune des dérogations pour des situations particulières visées au premier alinéa du présent paragraphe n'est applicable, un transfert vers un pays tiers ou à une organisation_internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu'un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données_à_caractère_personnel. Le responsable du traitement informe l' autorité_de_contrôle du transfert. Outre qu'il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu'il poursuit.

2. Un transfert effectué en vertu du paragraphe 1, premier alinéa, point g), ne porte pas sur la totalité des données_à_caractère_personnel ni sur des catégories entières de données_à_caractère_personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes justifiant d'un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires.

3. Les points a), b), et c) du premier alinéa du paragraphe 1 et le deuxième alinéa du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique.

4. L'intérêt public visé au paragraphe 1, premier alinéa, point d), est reconnu par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis.

5. En l'absence de décision d'adéquation, le droit de l'Union ou le droit d'un État membre peut, pour des motifs importants d'intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale. Les États membres notifient de telles dispositions à la Commission.

6. Le responsable du traitement ou le sous-traitant documente, dans les registres visés à l'article 30, l'évaluation ainsi que les garanties appropriées visées au paragraphe 1, deuxième alinéa, du présent article.

Article 50

Coopération internationale dans le domaine de la protection des données_à_caractère_personnel

La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a)	élaborer des mécanismes de coopération internationale destinés à faciliter l'application effective de la législation relative à la protection des données_à_caractère_personnel;

se prêter mutuellement assistance sur le plan international dans l'application de la législation relative à la protection des données_à_caractère_personnel, y compris par la notification, la transmission des réclamations, l'entraide pour les enquêtes et l'échange d'informations, sous réserve de garanties appropriées pour la protection des données_à_caractère_personnel et d'autres libertés et droits fondamentaux;

c)	associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l'application de la législation relative à la protection des données_à_caractère_personnel;

d)	favoriser l'échange et la documentation de la législation et des pratiques en matière de protection des données_à_caractère_personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

CHAPITRE VI

Autorités de contrôle indépendantes

Section 1

Statut d'indépendance

Article 51

Autorité de contrôle

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données_à_caractère_personnel au sein de l'Union (ci-après dénommée « autorité_de_contrôle»).

2. Chaque autorité_de_contrôle contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l'article 63.

4. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du présent chapitre, au plus tard, le 25 mai 2018 et, sans tarder, toute modification ultérieure les affectant.

Article 57

Missions

1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité_de_contrôle, sur son territoire:

a)	contrôle l'application du présent règlement et veille au respect de celui-ci;

b)	favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière;

c)	conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement;

d)	encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

e)	fournit, sur demande, à toute personne concernée des informations sur l'exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d'autres États membres;

traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l'article 80, examine l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité_de_contrôle est nécessaire;

g)	coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;

h)	effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité_de_contrôle ou d'une autre autorité publique;

i)	suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données_à_caractère_personnel, notamment dans le domaine des technologies de l'information et de la communication et des pratiques commerciales;

j)	adopte les clauses contractuelles types visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d);

k)	établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact relative à la protection des données en application de l'article 35, paragraphe 4;

l)	fournit des conseils sur les opérations de traitement visées à l'article 36, paragraphe 2;

m)	encourage l'élaboration de codes de conduite en application de l'article 40, paragraphe 1, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l'article 40, paragraphe 5;

n)	encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l'article 42, paragraphe 1, et approuve les critères de certification en application de l'article 42, paragraphe 5;

o)	procède, le cas échéant, à l'examen périodique des certifications délivrées conformément à l'article 42, paragraphe 7;

p)	rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43;

q)	procède à l'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43;

r)	autorise les clauses contractuelles et les dispositions visées à l'article 46, paragraphe 3;

s)	approuve les règles d' entreprise contraignantes en application de l'article 47;

t)	contribue aux activités du comité;

u)	tient des registres internes des violations au présent règlement et des mesures prises conformément à l'article 58, paragraphe 2; et

v)	s'acquitte de toute autre mission relative à la protection des données_à_caractère_personnel.

2. Chaque autorité_de_contrôle facilite l'introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d'autres moyens de communication ne soient exclus.

3. L'accomplissement des missions de chaque autorité_de_contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.

4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l' autorité_de_contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l' autorité_de_contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.

Article 66

Procédure d'urgence

1. Dans des circonstances exceptionnelles, lorsqu'une autorité_de_contrôle concernée considère qu'il est urgent d'intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l'article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n'excède pas trois mois. L' autorité_de_contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité et à la Commission.

2. Lorsqu'une autorité_de_contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d'urgence, elle peut demander un avis d'urgence ou une décision contraignante d'urgence au comité, en motivant sa demande d'avis ou de décision.

3. Toute autorité_de_contrôle peut, en motivant sa demande d'avis ou de décision et notamment l'urgence d'intervenir, demander au comité un avis d'urgence ou une décision contraignante d'urgence, selon le cas, lorsqu'une autorité_de_contrôle compétente n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les droits et libertés des personnes concernées.

4. Par dérogation à l'article 64, paragraphe 3, et à l'article 65, paragraphe 2, l'avis d'urgence ou la décision contraignante d'urgence visés aux paragraphes 2 et 3 du présent article est adopté dans un délai de deux semaines à la majorité simple des membres du comité.

Article 70

Missions du comité

1. Le comité veille à l'application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:

a)	de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;

b)	de conseiller la Commission sur toute question relative à la protection des données_à_caractère_personnel dans l'Union, y compris sur tout projet de modification du présent règlement;

c)	de conseiller la Commission, en ce qui concerne les règles d' entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent;

de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données_à_caractère_personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l'article 17, paragraphe 2;

d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l'application cohérente du présent règlement;

f)	de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l'article 22, paragraphe 2;

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir les violations de données_à_caractère_personnel, de déterminer les meilleurs délais visés à l'article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données_à_caractère_personnel;

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données_à_caractère_personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l'article 34, paragraphe 1;

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données_à_caractère_personnel fondés sur des règles d' entreprise contraignantes appliquées par les responsables du traitement et sur des règles d' entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données_à_caractère_personnel des personnes concernées visées à l'article 47;

j)	de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données_à_caractère_personnel sur la base de l'article 49, paragraphe 1;

k)	d'élaborer, à l'intention des autorités de contrôle, des lignes directrices concernant l'application des mesures visées à l'article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l'article 83;

l)	de faire le bilan de l'application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f);

m)	de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l'article 54, paragraphe 2;

n)	d'encourager l'élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;

de procéder à l'agrément des organismes de certification et à l'examen périodique de cet agrément en vertu de l'article 43 et de tenir un registre public des organismes agréés en vertu de l'article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l'article 42, paragraphe 7;

p)	de définir les exigences visées à l'article 43, paragraphe 3, aux fins de l'agrément des organismes de certification prévu à l'article 42;

q)	de rendre à la Commission un avis sur les exigences en matière de certification visées à l'article 43, paragraphe 8;

r)	de rendre à la Commission un avis sur les icônes visées à l'article 12, paragraphe 7;

de rendre à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation_internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation_internationale n'assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l' organisation_internationale;

d'émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l'article 64, paragraphe 1, sur les questions soumises en vertu de l'article 64, paragraphe 2, et d'émettre des décisions contraignantes en vertu de l'article 65, y compris dans les cas visés à l'article 66;

u)	de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de bonnes pratiques entre les autorités de contrôle;

v)	de promouvoir l'élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

w)	de promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

x)	d'émettre des avis sur les codes de conduite élaborés au niveau de l'Union en application de l'article 40, paragraphe 9; et

y)	de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

2. Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l'urgence de la question.

3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 93, et les publie.

4. Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 76.

Article 80

Représentation des personnes concernées

1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données_à_caractère_personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit.

2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l' autorité_de_contrôle qui est compétente en vertu de l'article 77, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.

Article 85

Traitement et liberté d'expression et d'information

1. Les États membres concilient, par la loi, le droit à la protection des données_à_caractère_personnel au titre du présent règlement et le droit à la liberté d'expression et d'information, y compris le traitement à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire.

2. Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données_à_caractère_personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour concilier le droit à la protection des données_à_caractère_personnel et la liberté d'expression et d'information.

3. Chaque État membre notifie à la Commission les dispositions légales qu'il a adoptées en vertu du paragraphe 2 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Article 87

Traitement du numéro d'identification national

Les États membres peuvent préciser les conditions spécifiques du traitement d'un numéro d'identification national ou de tout autre identifiant d'application générale. Dans ce cas, le numéro d'identification national ou tout autre identifiant d'application générale n'est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement.

Article 88

Traitement de données dans le cadre des relations de travail

1. Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données_à_caractère_personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l'employeur ou au client, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.

2. Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données_à_caractère_personnel au sein d'un groupe d' entreprises, ou d'un groupe d' entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

3. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

Article 89

Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière.

2. Lorsque des données_à_caractère_personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

3. Lorsque des données_à_caractère_personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4. Lorsqu'un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.

whereas

(2) Les principes et les règles régissant la protection des personnes physiques à l'égard du traitement des données_à_caractère_personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux, en particulier leur droit à la protection des données_à_caractère_personnel.
Le présent règlement vise à contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques.

- = -

(3) La directive 95/46/CE du Parlement européen et du Conseil (4) vise à harmoniser la protection des libertés et droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement et à assurer le libre flux des données_à_caractère_personnel entre les États membres.

- = -

(4) Le traitement des données_à_caractère_personnel devrait être conçu pour servir l'humanité.
Le droit à la protection des données_à_caractère_personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité.
Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données_à_caractère_personnel, la liberté de pensée, de conscience et de religion, la liberté d'expression et d'information, la liberté d' entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.

- = -

(9) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n'a pas permis d'éviter une fragmentation de la mise en œuvre de la protection des données dans l'Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne.
Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données_à_caractère_personnel, à l'égard du traitement des données_à_caractère_personnel dans les États membres peuvent empêcher le libre flux de ces données dans l'ensemble de l'Union.
Ces différences peuvent dès lors constituer un obstacle à l'exercice des activités économiques au niveau de l'Union, fausser la concurrence et empêcher les autorités de s'acquitter des obligations qui leur incombent en vertu du droit de l'Union.
Ces différences dans le niveau de protection résultent de l'existence de divergences dans la mise en œuvre et l'application de la directive 95/46/CE.

- = -

(10) Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données_à_caractère_personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres.
Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données_à_caractère_personnel dans l'ensemble de l'Union.
En ce qui concerne le traitement de données_à_caractère_personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement.
Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises.
Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données_à_caractère_personnel (ci-après dénommées «données sensibles»). À cet égard, le présent règlement n'exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données_à_caractère_personnel est licite.

- = -

(16) Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données_à_caractère_personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale.
Le présent règlement ne s'applique pas au traitement des données_à_caractère_personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.

- = -

(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement.
En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée.
Conformément à la directive 93/13/CEE du Conseil (10), une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive.
Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données_à_caractère_personnel.
Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

- = -

(47) Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données_à_caractère_personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement.
Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service.
En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données_à_caractère_personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée.
Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données_à_caractère_personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données_à_caractère_personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions.
Le traitement de données_à_caractère_personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné.
Le traitement de données_à_caractère_personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

- = -

(51) Les données_à_caractère_personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits.
Ces données_à_caractère_personnel devraient comprendre les données_à_caractère_personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression «origine raciale» dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes.
Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données_à_caractère_personnel, étant donné que celles-ci ne relèvent de la définition de données_biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique.
De telles données_à_caractère_personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement.
Des dérogations à l'interdiction générale de traiter ces catégories particulières de données_à_caractère_personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.

- = -

(54) Le traitement des catégories particulières de données_à_caractère_personnel peut être nécessaire pour des motifs d'intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée.
Un tel traitement devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques.
Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (11), à savoir tous les éléments relatifs à la santé, à savoir l'état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l'accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité.
De tels traitements de données_concernant_la_santé pour des motifs d'intérêt public ne devraient pas aboutir à ce que des données_à_caractère_personnel soient traitées à d'autres fins par des tiers, tels que les employeurs ou les compagnies d'assurance et les banques.

- = -

(63) Une personne concernée devrait avoir le droit d'accéder aux données_à_caractère_personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d'en vérifier la licéité.
Cela inclut le droit des personnes concernées d'accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés.
En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données_à_caractère_personnel, si possible la durée du traitement de ces données_à_caractère_personnel, l'identité des destinataires de ces données_à_caractère_personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.
Lorsque c'est possible, le responsable du traitement devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement aux données_à_caractère_personnel la concernant.
Ce droit ne devrait pas porter atteinte aux droits ou libertés d'autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel.
Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d'informations à la personne concernée.
Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

- = -

(65) Les personnes concernées devraient avoir le droit de faire rectifier des données_à_caractère_personnel les concernant, et disposer d'un «droit à l'oubli» lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis.
En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données_à_caractère_personnel soient effacées et ne soient plus traitées, lorsque ces données_à_caractère_personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données_à_caractère_personnel les concernant, ou encore lorsque le traitement de leurs données_à_caractère_personnel ne respecte pas d'une autre manière le présent règlement.
Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n'était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données_à_caractère_personnel, en particulier sur l'internet.
La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant.
Toutefois, la conservation ultérieure des données_à_caractère_personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou à la défense de droits en justice.

- = -

(68) Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données_à_caractère_personnel font l'objet d'un traitement automatisé, de recevoir les données_à_caractère_personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement.
Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données.
Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données_à_caractère_personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l'exécution d'un contrat.
Il ne devrait pas s'appliquer lorsque le traitement est fondé sur un motif légal autre que le consentement ou l'exécution d'un contrat.
De par sa nature même, ce droit ne devrait pas être exercé à l'encontre de responsables du traitement qui traitent des données_à_caractère_personnel dans l'exercice de leurs missions publiques.
Il ne devrait dès lors pas s'appliquer lorsque le traitement des données_à_caractère_personnel est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
Le droit de la personne concernée de transmettre ou de recevoir des données_à_caractère_personnel la concernant ne devrait pas créer, pour les responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles.
Lorsque, dans un ensemble de données_à_caractère_personnel, plusieurs personnes sont concernées, le droit de recevoir les données_à_caractère_personnel devrait s'entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement.
De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d'obtenir l'effacement de données_à_caractère_personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l'effacement de données_à_caractère_personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données_à_caractère_personnel sont nécessaires à l'exécution de ce contrat.
Lorsque c'est techniquement possible, la personne concernée devrait avoir le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre.

- = -

(69) Lorsque des données_à_caractère_personnel pourraient être traitées de manière licite parce que le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement ou d'un tiers, les personnes concernées devraient néanmoins avoir le droit de s'opposer au traitement de toute donnée à caractère personnel en rapport avec leur situation particulière.
Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

- = -

(73) Des limitations à certains principes spécifiques ainsi qu'au droit à l'information, au droit d'accès aux données_à_caractère_personnel, au droit de rectification ou d'effacement de ces données, au droit à la portabilité des données, au droit d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la communication d'une violation de données_à_caractère_personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par le droit de l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d'origine naturelle ou humaine, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ou de manquements à la déontologie des professions réglementées, et pour garantir d'autres objectifs d'intérêt public importants de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, la tenue de registres publics conservés pour des motifs d'intérêt public général, le traitement ultérieur de données_à_caractère_personnel archivées pour fournir des informations spécifiques relatives au comportement politique dans le cadre des régimes des anciens États totalitaires ou la protection de la personne concernée ou des droits et libertés d'autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.
Il y a lieu que ces limitations respectent les exigences énoncées par la Charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

- = -

(74) Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données_à_caractère_personnel qu'il effectue lui-même ou qui est réalisé pour son compte.
Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures.
Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

- = -

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données_à_caractère_personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données_à_caractère_personnel; lorsque le traitement concerne des données_à_caractère_personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données_génétiques, des données_concernant_la_santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données_à_caractère_personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données_à_caractère_personnel et touche un nombre important de personnes concernées.

- = -

(76) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement.
Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

- = -

(77) Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données.
Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

- = -

(78) La protection des droits et libertés des personnes physiques à l'égard du traitement des données_à_caractère_personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées.
Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut.
Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données_à_caractère_personnel, à pseudonymiser les données_à_caractère_personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données_à_caractère_personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.
Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données_à_caractère_personnel ou traitent des données_à_caractère_personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données.
Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

- = -

(79) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.

- = -

(80) Lorsqu'un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union traite des données_à_caractère_personnel de personnes concernées qui se trouvent dans l'Union et que ses activités de traitement sont liées à l'offre de biens ou de services à ces personnes dans l'Union, qu'un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union, il convient que le responsable du traitement ou le sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n'implique pas un traitement, à grande échelle, de catégories particulières de données_à_caractère_personnel ou le traitement de données_à_caractère_personnel relatives à des condamnations pénales et à des infractions, et soit peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public.
Le représentant devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité_de_contrôle.
Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui lui incombent en vertu du présent règlement.
La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du présent règlement.
Ce représentant devrait accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du présent règlement.
Le représentant désigné devrait faire l'objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant.

- = -

(81) Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.
L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement.
La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données_à_caractère_personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.
Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité_de_contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.
Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données_à_caractère_personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n'exige la conservation des données_à_caractère_personnel.

- = -

(84) Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque.
Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données_à_caractère_personnel respecte le présent règlement.
Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l' autorité_de_contrôle soit consultée avant que le traitement n'ait lieu.

- = -

(85) Une violation de données_à_caractère_personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données_à_caractère_personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données_à_caractère_personnel protégées par le secret professionnel ou tout autre dommage économique ou social important.
En conséquence, dès que le responsable du traitement apprend qu'une violation de données_à_caractère_personnel s'est produite, il convient qu'il le notifie à l' autorité_de_contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques.
Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

- = -

(86) Le responsable du traitement devrait communiquer une violation de données_à_caractère_personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.
La communication devrait décrire la nature de la violation des données_à_caractère_personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels.
Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu'il est raisonnablement possible et en coopération étroite avec l' autorité_de_contrôle, dans le respect des directives données par celle-ci ou par d'autres autorités compétentes, telles que les autorités répressives.
Par exemple, la nécessité d'atténuer un risque immédiat de dommage pourrait justifier d'adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données_à_caractère_personnel ou la survenance de violations similaires peut justifier un délai plus long pour la communication.

- = -

(89) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données_à_caractère_personnel aux autorités de contrôle.
Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données_à_caractère_personnel.
Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités.
Ces types d'opérations de traitement peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d'impact relative à la protection des données n'a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.

- = -

(91) Cela devrait s'appliquer en particulier aux opérations de traitement à grande échelle qui visent à traiter un volume considérable de données_à_caractère_personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d'exercer leurs droits.
Une analyse d'impact relative à la protection des données devrait également être effectuée lorsque des données_à_caractère_personnel sont traitées en vue de prendre des décisions relatives à des personnes physiques spécifiques à la suite d'une évaluation systématique et approfondie d'aspects personnels propres à des personnes physiques sur la base du profilage desdites données ou à la suite du traitement de catégories particulières de données_à_caractère_personnel, de données_biométriques ou de données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes.
Une analyse d'impact relative à la protection des données est de même requise aux fins de la surveillance à grande échelle de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle l' autorité_de_contrôle compétente considère que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, en particulier parce qu'elles empêchent ces personnes d'exercer un droit ou de bénéficier d'un service ou d'un contrat, ou parce qu'elles sont effectuées systématiquement à grande échelle.
Le traitement de données_à_caractère_personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données_à_caractère_personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel.
Dans de tels cas, une analyse d'impact relative à la protection des données ne devrait pas être obligatoire.

- = -

(94) Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre, il y a lieu de consulter l' autorité_de_contrôle avant le début des opérations de traitement.
Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique.
L' autorité_de_contrôle devrait répondre à la demande de consultation dans un délai déterminé.
Toutefois, l'absence de réaction de l' autorité_de_contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement.
Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l' autorité_de_contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

- = -

(98) Il y a lieu d'encourager les associations ou autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des micro, petites et moyennes entreprises.
Ces codes de conduite pourraient, en particulier, définir les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.

- = -

(109) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité_de_contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité_de_contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

- = -

(113) Les transferts qui peuvent être qualifiés de non répétitifs et qui ne touchent qu'un nombre limité de personnes concernées pourraient également être autorisés aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, lorsque ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée et lorsque le responsable du traitement a évalué toutes les circonstances entourant le transfert de données.
Le responsable du traitement devrait accorder une attention particulière à la nature des données_à_caractère_personnel, à la finalité et à la durée de la ou des opérations de traitement envisagées ainsi qu'à la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et devrait prévoir des garanties appropriées pour protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données_à_caractère_personnel.
De tels transferts ne devraient être possibles que dans les cas résiduels dans lesquels aucun des autres motifs de transfert ne sont applicables. À des fins de recherche scientifique ou historique ou à des fins statistiques, il y a lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances.
Le responsable du traitement devrait informer l' autorité_de_contrôle et la personne concernée du transfert.

- = -

(137) Il peut être nécessaire d'intervenir en urgence pour protéger les droits et libertés des personnes concernées, en particulier lorsque le danger existe que l'exercice du droit d'une personne concernée pourrait être considérablement entravé.
En conséquence, une autorité_de_contrôle devrait pouvoir adopter, sur son territoire, des mesures provisoires dûment justifiées et d'une durée de validité déterminée qui ne devrait pas excéder trois mois.

- = -

(153) Le droit des États membres devrait concilier les règles régissant la liberté d'expression et d'information, y compris l'expression journalistique, universitaire, artistique ou littéraire, et le droit à la protection des données_à_caractère_personnel en vertu du présent règlement.
Dans le cadre du traitement de données_à_caractère_personnel uniquement à des fins journalistiques ou à des fins d'expression universitaire, artistique ou littéraire, il y a lieu de prévoir des dérogations ou des exemptions à certaines dispositions du présent règlement si cela est nécessaire pour concilier le droit à la protection des données_à_caractère_personnel et le droit à la liberté d'expression et d'information, consacré par l'article 11 de la Charte.
Tel devrait notamment être le cas des traitements de données_à_caractère_personnel dans le domaine de l'audiovisuel et dans les documents d'archives d'actualités et bibliothèques de la presse.
En conséquence, les États membres devraient adopter des dispositions législatives qui fixent les exemptions et dérogations nécessaires aux fins d'assurer un équilibre entre ces droits fondamentaux.
Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable du traitement et le sous-traitant, le transfert de données_à_caractère_personnel vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, la coopération et la cohérence, ainsi que les situations particulières de traitement des données.
Lorsque ces exemptions ou dérogations diffèrent d'un État membre à l'autre, le droit de l'État membre dont relève le responsable du traitement devrait s'appliquer.
Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, telles que le journalisme.

- = -

(156) Le traitement des données_à_caractère_personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement.
Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données.
Le traitement ultérieur de données_à_caractère_personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données).
Les États membres devraient prévoir des garanties appropriées pour le traitement de données_à_caractère_personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données_à_caractère_personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données_à_caractère_personnel conformément aux principes de proportionnalité et de nécessité.
Le traitement de données_à_caractère_personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.

- = -

(162) Lorsque des données_à_caractère_personnel sont traitées à des fins statistiques, le présent règlement devrait s'appliquer à ce traitement.
Le droit de l'Union ou le droit des États membres devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle de l'accès aux données et arrêter des dispositions particulières pour le traitement de données_à_caractère_personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique.
Par «fins statistiques», on entend toute opération de collecte et de traitement de données_à_caractère_personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques.
Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de recherche scientifique.
Les fins statistiques impliquent que le résultat du traitement à des fins statistiques ne constitue pas des données_à_caractère_personnel mais des données agrégées, et que ce résultat ou ces données_à_caractère_personnel ne sont pas utilisés à l'appui de mesures ou de décisions concernant une personne physique en particulier.

- = -

(166) Afin de remplir les objectifs du présent règlement, à savoir protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données_à_caractère_personnel, et garantir la libre circulation de ces données au sein de l'Union, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne.
En particulier, des actes délégués devraient être adoptés en ce qui concerne les critères et exigences applicables aux mécanismes de certification, les informations à présenter sous la forme d'icônes normalisées ainsi que les procédures régissant la fourniture de ces icônes.
Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts.
Il convient que, lorsqu'elle prépare et élabore des actes délégués, la Commission veille à ce que tous les documents pertinents soient transmis simultanément en temps utile et de façon appropriée au Parlement européen et au Conseil.

- = -

(173) Le présent règlement devrait s'appliquer à tous les aspects de la protection des libertés et droits fondamentaux à l'égard du traitement des données_à_caractère_personnel qui ne sont pas soumis à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil (18), y compris les obligations incombant au responsable du traitement et les droits des personnes physiques.
Afin de clarifier la relation entre le présent règlement et la directive 2002/58/CE, cette directive devrait être modifiée en conséquence.
Après l'adoption du présent règlement, il convient de réexaminer la directive 2002/58/CE, notamment afin d'assurer la cohérence avec le présent règlement,

- = -

dal 2004 diritto e informatica