interactive GDPR 2016/0679 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Article 40 Codes de conduite
- 1 Article 41 Suivi des codes de conduite approuvés
- 1 Article 42 Certification
- 1 Article 56 Compétence de l'autorité de contrôle chef de file
- 3 Article 60 Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées
- 1 Article 97 Rapports de la Commission
- données à caractère personnel
- traitement
- limitation du traitement
- profilage
- pseudonymisation
- fichier
- responsable du traitement
- sous-traitant
- destinataire
- tiers
- consentement
- violation de données à caractère personnel
- données génétiques
- données biométriques
- données concernant la santé
- établissement principal
- représentant
- entreprise
- groupe d'entreprises
- règles d'entreprise contraignantes
- autorité de contrôle
- autorité de contrôle concernée
- traitement transfrontalier
- objection pertinente et motivée
- service de la société de l'information
- organisation internationale
- autorité_de_contrôle 51
- traitement 44
- présent 32
- paragraphe 30
- article 30
- chef 24
- concernées 24
- file 24
- dans 23
- code 23
- contrôle 23
- article 22
- autorités 20
- responsable 19
- pour 18
- décision 18
- projet 18
- sont 18
- autres 18
- sous-traitant 17
- règlement 17
- compétente 17
- certification 16
- application 16
- conduite 15
- vertu 15
- elle 13
- responsables 12
- visé 12
- réclamation 11
- commission 11
- peut 10
- appropriées 10
- personnes 10
- comité 10
- sous-traitants 10
- cette 9
- organisme 9
- garanties 8
- approuvés 8
- prorogation 8
- été 8
- informe 8
- procédure 8
- soumet 8
- l 8
- avis 7
- mesures 7
- soumis 7
- respect 7
Article 40
Codes de conduite
1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement, telles que:
| a) | le traitement loyal et transparent; |
| b) | les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques; |
| c) | la collecte des données_à_caractère_personnel; |
| d) | la pseudonymisation des données_à_caractère_personnel; |
| e) | les informations communiquées au public et aux personnes concernées; |
| f) | l'exercice des droits des personnes concernées; |
| g) | les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant; |
| h) | les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32; |
| i) | la notification aux autorités de contrôle des violations de données_à_caractère_personnel et la communication de ces violations aux personnes concernées; |
| j) | le transfert de données_à_caractère_personnel vers des pays tiers ou à des organisations internationales; ou |
| k) | les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79. |
3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l' autorité_de_contrôle qui est compétente en vertu de l'article 55 ou 56.
5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l' autorité_de_contrôle qui est compétente en vertu de l'article 55. L' autorité_de_contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes.
6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l' autorité_de_contrôle enregistre et publie le code de conduite.
7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l' autorité_de_contrôle qui est compétente en vertu de l'article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s'il offre des garanties appropriées.
8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.
9. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d'application générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu'ils sont d'application générale conformément au paragraphe 9.
11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.
Article 41
Suivi des codes de conduite approuvés
1. Sans préjudice des missions et des pouvoirs de l' autorité_de_contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l' autorité_de_contrôle compétente.
2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a:
| a) | démontré, à la satisfaction de l' autorité_de_contrôle compétente, son indépendance et son expertise au regard de l'objet du code; |
| b) | établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement; |
| c) | établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et |
| d) | démontré, à la satisfaction de l' autorité_de_contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts. |
3. L' autorité_de_contrôle compétente soumet le projet de critères d'agrément d'un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l'article 63.
4. Sans préjudice des missions et des pouvoirs de l' autorité_de_contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l' autorité_de_contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.
5. L' autorité_de_contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement.
6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.
Article 42
Certification
1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.
2. Outre l'application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l'article 3 fournissent des garanties appropriées dans le cadre des transferts de données_à_caractère_personnel vers un pays tiers ou à une organisation_internationale dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
3. La certification est volontaire et accessible via un processus transparent.
4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l'article 55 ou 56.
5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par l' autorité_de_contrôle compétente sur la base des critères approuvés par cette autorité_de_contrôle compétente en application de l'article 58, paragraphe 3, ou par le comité en application de l'article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.
6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43 ou, le cas échéant, à l' autorité_de_contrôle compétente toutes les informations ainsi que l'accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.
7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être satisfaites. La certification est retirée, s'il y a lieu, par les organismes de certification visés à l'article 43 ou par l' autorité_de_contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.
8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.
Article 56
Compétence de l' autorité_de_contrôle chef de file
1. Sans préjudice de l'article 55, l' autorité_de_contrôle de l' établissement_principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu' autorité_de_contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60.
2. Par dérogation au paragraphe 1, chaque autorité_de_contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.
3. Dans les cas visés au paragraphe 2 du présent article, l' autorité_de_contrôle informe sans tarder l' autorité_de_contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l' autorité_de_contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l'article 60, en considérant s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l' autorité_de_contrôle qui l'a informée.
4. Si l' autorité_de_contrôle chef de file décide de traiter le cas, la procédure prévue à l'article 60 s'applique. L' autorité_de_contrôle qui a informé l' autorité_de_contrôle chef de file peut lui soumettre un projet de décision. L' autorité_de_contrôle chef de file tient le plus grand compte de ce projet lorsqu'elle élabore le projet de décision visé à l'article 60, paragraphe 3.
5. Lorsque l' autorité_de_contrôle chef de file décide de ne pas traiter le cas, l' autorité_de_contrôle qui l'a informée le traite conformément aux articles 61 et 62.
6. L' autorité_de_contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant.
Article 60
Coopération entre l' autorité_de_contrôle chef de file et les autres autorités de contrôle concernées
1. L' autorité_de_contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s'efforçant de parvenir à un consensus. L' autorité_de_contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.
2. L' autorité_de_contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l'article 61 et peut mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.
3. L' autorité_de_contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tient dûment compte de leur point de vue.
4. Lorsqu'une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection_pertinente_et_motivée à l'égard du projet de décision, l' autorité_de_contrôle chef de file, si elle ne suit pas l' objection_pertinente_et_motivée ou si elle est d'avis que cette objection n'est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 63.
5. Lorsque l' autorité_de_contrôle chef de file entend suivre l' objection_pertinente_et_motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d'obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.
6. Lorsqu'aucune des autres autorités de contrôle concernées n'a formulé d'objection à l'égard du projet de décision soumis par l' autorité_de_contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l' autorité_de_contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.
7. L' autorité_de_contrôle chef de file adopte la décision, la notifie à l' établissement_principal ou à l'établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L' autorité_de_contrôle auprès de laquelle une réclamation a été introduite informe de la décision l'auteur de la réclamation.
8. Par dérogation au paragraphe 7, lorsqu'une réclamation est refusée ou rejetée, l' autorité_de_contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l'auteur de la réclamation et en informe le responsable du traitement.
9. Lorsque l' autorité_de_contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter certaines parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L' autorité_de_contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l' établissement_principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe l'auteur de la réclamation, tandis que l' autorité_de_contrôle de l'auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.
10. Après avoir été informé de la décision de l' autorité_de_contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l'Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l' autorité_de_contrôle chef de file, qui informe les autres autorités de contrôle concernées.
11. Lorsque, dans des circonstances exceptionnelles, une autorité_de_contrôle concernée a des raisons de considérer qu'il est urgent d'intervenir pour protéger les intérêts des personnes concernées, la procédure d'urgence visée à l'article 66 s'applique.
12. L' autorité_de_contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d'un formulaire type, les informations requises en vertu du présent article.
Article 97
Rapports de la Commission
1. Au plus tard le 25 mai 2020 et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l'évaluation et le réexamen du présent règlement. Ces rapports sont publiés.
2. Dans le cadre des évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l'application et le fonctionnement du:
| a) | chapitre V sur le transfert de données_à_caractère_personnel vers des pays tiers ou à des organisations internationales, en particulier en ce qui concerne les décisions adoptées en vertu de l'article 45, paragraphe 3 du présent règlement, et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE; |
| b) | chapitre VII sur la coopération et la cohérence. |
3. Aux fins du paragraphe 1, la Commission peut demander des informations aux États membres et aux autorités de contrôle.
4. Lorsqu'elle procède aux évaluations et réexamens visés aux paragraphes 1 et 2, la Commission tient compte des positions et des conclusions du Parlement européen, du Conseil, et d'autres organismes ou sources pertinents.
5. La Commission soumet, si nécessaire, des propositions appropriées visant à modifier le présent règlement, notamment en tenant compte de l'évolution des technologies de l'information et à la lumière de l'état d'avancement de la société de l'information.
whereas
dal 2004 diritto e informatica