Con­sidé­rants

(1) La pro­tec­tion des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées à carac­tère per­son­nel est un droit fon­da­men­tal. Con­for­mé­ment à l’ar­tic­le 8, para­gra­phe 1, de la Char­te des droits fon­da­men­taux de l’U­ni­on euro­pé­en­ne (ci-après “la Char­te”), la pro­tec­tion des don­nées à carac­tère per­son­nel est un droit fon­da­men­tal.Char­te”) et à l’ar­tic­le 16, para­gra­phe 1, du trai­té sur le fonc­tion­ne­ment de l’U­ni­on euro­pé­en­ne (TFUE), tou­te per­son­ne a droit à la pro­tec­tion des don­nées à carac­tère per­son­nel la concernant.

(2) Les prin­cipes et règles rela­tifs à la pro­tec­tion des per­son­nes phy­si­ques à l’é­gard du trai­te­ment de leurs don­nées à carac­tère per­son­nel dev­rai­ent garan­tir le respect de leurs droits et liber­tés fon­da­men­taux, et notam­ment de leur droit à la pro­tec­tion des don­nées à carac­tère per­son­nel, indé­pen­dam­ment de leur natio­na­li­té ou de leur lieu de rési­dence. Le pré­sent règle­ment dev­rait con­tri­buer à l’ac­hè­ve­ment d’un espace de liber­té, de sécu­ri­té et de justi­ce et d’u­ne uni­on éco­no­mi­que, au pro­grès éco­no­mi­que et social, au ren­force­ment et à l’in­té­gra­ti­on des éco­no­mies au sein du mar­ché inté­ri­eur, ain­si qu’au bien-être des per­son­nes physiques.

(3) La direc­ti­ve 95/46/CE du Par­le­ment euro­pé­en et du Con­seil (4 ) a pour objet d’har­mo­ni­s­er les règles de pro­tec­tion des liber­tés et droits fon­da­men­taux des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées et de garan­tir la lib­re cir­cula­ti­on des don­nées à carac­tère per­son­nel ent­re les États membres.

(4) Le trai­te­ment des don­nées à carac­tère per­son­nel dev­rait être au ser­vice de l’hu­ma­ni­té. Le droit à la pro­tec­tion des don­nées à carac­tère per­son­nel n’est pas un droit abso­lu ; il doit être con­sidé­ré à la lumiè­re de sa fonc­tion socia­le et mis en balan­ce avec d’aut­res droits fon­da­men­taux, dans le respect du prin­ci­pe de pro­por­ti­on­na­li­té. Le pré­sent règle­ment respec­te tous les droits fon­da­men­taux et obser­ve l’en­sem­ble des liber­tés et prin­cipes recon­nus par la Char­te et con­sacrés par les trai­tés euro­pé­ens, notam­ment le respect de la vie pri­vée et fami­lia­le, du domic­i­le et des com­mu­ni­ca­ti­ons, la pro­tec­tion des don­nées à carac­tère per­son­nel, la liber­té de pen­sée, de con­sci­ence et de reli­gi­on, la liber­té d’ex­pres­si­on et d’in­for­ma­ti­on, la liber­té d’entre­pri­se, le droit à un recours effec­tif et à accé­der à un tri­bu­nal impar­ti­al, ain­si que la diver­si­té cul­tu­rel­le, reli­gieu­se et linguistique.

(5) L’in­té­gra­ti­on éco­no­mi­que et socia­le résul­tant du bon fonc­tion­ne­ment du mar­ché inté­ri­eur a ent­raî­né une aug­men­ta­ti­on sen­si­ble des flux trans­fron­ta­liers de don­nées à carac­tère per­son­nel. Les éch­an­ges de don­nées à carac­tère per­son­nel ent­re acteurs publics et pri­vés, y com­pris les per­son­nes phy­si­ques, les asso­cia­ti­ons et les ent­re­pri­ses, se sont mul­ti­pli­és dans tou­te l’U­ni­on. Le droit de l’U­ni­on obli­ge les admi­ni­stra­ti­ons des États mem­bres à coopé­rer et à éch­an­ger des don­nées à carac­tère per­son­nel afin de s’ac­quit­ter de leurs obli­ga­ti­ons ou d’exé­cu­ter des tâches pour une auto­ri­té d’un aut­re État membre.

(6) Les évo­lu­ti­ons tech­no­lo­gi­ques rapi­des et la mon­dia­li­sa­ti­on ont posé de nou­veaux défis à la pro­tec­tion des don­nées. L’am­pleur de la coll­ec­te et de l’é­ch­an­ge de don­nées à carac­tère per­son­nel a aug­men­té de maniè­re impres­si­on­nan­te. La tech­no­lo­gie per­met aux ent­re­pri­ses pri­vées et aux auto­ri­tés publi­ques d’ac­cé­der à des don­nées à carac­tère per­son­nel à une échel­le sans pré­cé­dent dans le cad­re de leurs acti­vi­tés. De plus en plus, des per­son­nes phy­si­ques ren­dent éga­le­ment des infor­ma­ti­ons acce­s­si­bles au public dans le mon­de entier. La tech­no­lo­gie a trans­for­mé la vie éco­no­mi­que et socia­le et dev­rait faci­li­ter enco­re davan­ta­ge la cir­cula­ti­on des don­nées à carac­tère per­son­nel au sein de l’U­ni­on ain­si que leur trans­fert vers des pays tiers et des orga­ni­sa­ti­ons inter­na­tio­na­les, tout en garan­tis­sant un niveau éle­vé de pro­tec­tion des données.

(7) Ces évo­lu­ti­ons néces­si­tent un cad­re juri­di­que soli­de, plus cohé­rent et clai­re­ment appli­ca­ble dans le domaine de la pro­tec­tion des don­nées au sein de l’U­ni­on, car il est essen­tiel de cré­er une base de con­fi­ance dont l’é­co­no­mie numé­ri­que a grand beso­in pour con­tin­uer à se déve­lo­p­per dans le mar­ché uni­que. Les per­son­nes phy­si­ques dev­rai­ent avoir le con­trô­le de leurs pro­pres don­nées. Les per­son­nes phy­si­ques, les ent­re­pri­ses et les pou­voirs publics dev­rai­ent béné­fi­ci­er d’u­ne plus gran­de sécu­ri­té, tant sur le plan juri­di­que que pratique.

(8) Lorsque le pré­sent règle­ment pré­voit des pré­cis­i­ons ou des limi­ta­ti­ons de ses dis­po­si­ti­ons par le droit des États mem­bres, ces der­niers peu­vent inté­grer des par­ties du pré­sent règle­ment dans leur droit natio­nal, dans la mesu­re où cela est néces­saire pour assurer la cohé­rence et rend­re la légis­la­ti­on natio­na­le plus com­pré­hen­si­ble pour les per­son­nes aux­quel­les elle s’applique.

(9) Les objec­tifs et les prin­cipes de la direc­ti­ve 95/46/CE restent val­ables, mais cel­le-ci n’a pas empê­ché les diver­gen­ces d’appro­che en matiè­re de pro­tec­tion des don­nées dans l’U­ni­on, l’in­sé­cu­ri­té juri­di­que ou l’o­pi­ni­on publi­que de pen­ser qu’il exi­ste des ris­ques importants pour la pro­tec­tion des per­son­nes phy­si­ques, notam­ment en ce qui con­cer­ne l’uti­li­sa­ti­on de l’in­ter­net. Les dif­fé­ren­ces ent­re les niveaux de pro­tec­tion des droits et liber­tés des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées à carac­tère per­son­nel dans les États mem­bres, notam­ment en ce qui con­cer­ne le droit à la pro­tec­tion de ces don­nées, peu­vent ent­ra­ver la lib­re cir­cula­ti­on de ces don­nées dans l’U­ni­on. Ces dif­fé­ren­ces de niveau de pro­tec­tion peu­vent donc con­sti­tuer une ent­ra­ve à l’e­xer­ci­ce d’ac­ti­vi­tés éco­no­mi­ques dans l’en­sem­ble de l’U­ni­on, fau­sser la con­cur­rence et empêcher les auto­ri­tés publi­ques de rem­plir les obli­ga­ti­ons qui leur incom­bent en ver­tu du droit de l’U­ni­on. Elles s’ex­pli­quent par les dif­fé­ren­ces dans la trans­po­si­ti­on et l’ap­pli­ca­ti­on de la direc­ti­ve 95/46/CE.

(10) Afin d’assurer un niveau uni­for­me et éle­vé de pro­tec­tion des don­nées pour les per­son­nes phy­si­ques et d’é­li­mi­ner les obs­ta­cles à la cir­cula­ti­on des don­nées à carac­tère per­son­nel dans l’U­ni­on, le niveau de pro­tec­tion des droits et liber­tés des per­son­nes phy­si­ques à l’é­gard du trai­te­ment de ces don­nées dev­rait être équi­va­lent dans tous les États mem­bres. Les règles de pro­tec­tion des droits et liber­tés fon­da­men­taux des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées à carac­tère per­son­nel dev­rai­ent être appli­quées de maniè­re uni­for­me et cohé­ren­te dans tou­te l’U­ni­on. En ce qui con­cer­ne le trai­te­ment de don­nées à carac­tère per­son­nel aux fins du respect d’u­ne obli­ga­ti­on léga­le ou de l’exé­cu­ti­on d’u­ne mis­si­on d’in­té­rêt public ou rele­vant de l’e­xer­ci­ce de l’au­to­ri­té publi­que dont est inve­sti le responsable du trai­te­ment, les États mem­bres dev­rai­ent avoir la pos­si­bi­li­té de main­te­nir ou d’in­tro­dui­re des dis­po­si­ti­ons natio­na­les pré­cisant l’ap­pli­ca­ti­on des dis­po­si­ti­ons du pré­sent règle­ment. En liai­son avec la légis­la­ti­on géné­ra­le et hori­zon­ta­le sur la pro­tec­tion des don­nées met­tant en œuvre la direc­ti­ve 95/46/CE, il exi­ste dans les États mem­bres plu­sieurs légis­la­ti­ons sec­to­ri­el­les dans des domain­es qui néces­si­tent des dis­po­si­ti­ons plus spé­ci­fi­ques. Le pré­sent règle­ment off­re éga­le­ment aux États mem­bres une mar­ge de manœu­vre pour spé­ci­fier leurs règles, y com­pris en ce qui con­cer­ne le trai­te­ment de caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel (ci-après “les don­nées”).don­nées sen­si­bles”). cet égard, le pré­sent règle­ment n’ex­clut pas les dis­po­si­ti­ons légis­la­ti­ves des États mem­bres qui défi­nis­sent les cir­con­stances de situa­tions de trai­te­ment par­ti­cu­liè­res, y com­pris une déter­mi­na­ti­on plus pré­cise des con­di­ti­ons dans les­quel­les le trai­te­ment de don­nées à carac­tère per­son­nel est licite.

(11) Une pro­tec­tion effi­cace des don­nées à carac­tère per­son­nel à l’é­chel­le de l’U­ni­on requiert le ren­force­ment et la défi­ni­ti­on pré­cise des droits des per­son­nes con­cer­nées, le ren­force­ment des obli­ga­ti­ons de ceux qui trai­tent des don­nées à carac­tère per­son­nel et pren­nent des décis­i­ons à leur sujet, ain­si que l’é­ga­li­té des pou­voirs dans les États mem­bres en matiè­re de con­trô­le et de garan­tie du respect des règles de pro­tec­tion des don­nées à carac­tère per­son­nel et de sanc­tions en cas de vio­la­ti­on de ces règles.

(12) L’ar­tic­le 16, para­gra­phe 2, du TFUE habi­li­te le Par­le­ment euro­pé­en et le Con­seil à adop­ter des règles rela­ti­ves à la pro­tec­tion des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées à carac­tère per­son­nel et à la lib­re cir­cula­ti­on de ces données.

(13) Afin d’assurer un niveau équi­va­lent de pro­tec­tion des don­nées dans l’U­ni­on pour les per­son­nes phy­si­ques et d’é­li­mi­ner les dis­pa­ri­tés sus­cep­ti­bles d’en­tra­ver la lib­re cir­cula­ti­on des don­nées à carac­tère per­son­nel dans le mar­ché inté­ri­eur, il est néces­saire d’ad­op­ter un règle­ment qui assu­re la sécu­ri­té juri­di­que et la trans­pa­rence pour les opé­ra­teurs éco­no­mi­ques, y com­pris les micro, peti­tes et moy­ennes ent­re­pri­ses, qui con­fè­re aux per­son­nes phy­si­ques le même niveau de droits exé­cu­toires dans tous les États mem­bres, qui pré­voit les mêmes obli­ga­ti­ons et responsa­bi­li­tés pour les respons­ables du trai­te­ment et les sous-trai­tants et qui garan­tit un con­trô­le uni­for­me du trai­te­ment des don­nées à carac­tère per­son­nel et des sanc­tions équi­va­len­tes dans tous les États mem­bres ain­si qu’u­ne coopé­ra­ti­on effi­cace ent­re les auto­ri­tés de con­trô­le des dif­fér­ents États mem­bres. Le bon fonc­tion­ne­ment du mar­ché inté­ri­eur exi­ge que la lib­re cir­cula­ti­on des don­nées à carac­tère per­son­nel dans l’U­ni­on ne soit pas limi­tée ou inter­di­te pour des motifs liés à la pro­tec­tion des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées à carac­tère per­son­nel. Afin de tenir comp­te de la situa­ti­on par­ti­cu­liè­re des micro, peti­tes et moy­ennes ent­re­pri­ses, le pré­sent règle­ment pré­voit un régime déro­ga­toire en ce qui con­cer­ne la tenue d’un regist­re pour les enti­tés employant moins de 250 per­son­nes. En out­re, les insti­tu­ti­ons et orga­nes de l’U­ni­on, ain­si que les États mem­bres et leurs auto­ri­tés de con­trô­le, sont encou­ra­gés à tenir comp­te des beso­ins spé­ci­fi­ques des micro, peti­tes et moy­ennes ent­re­pri­ses lors de l’ap­pli­ca­ti­on du pré­sent règle­ment. Pour la défi­ni­ti­on de l’ex­pres­si­on “Micro-ent­re­pri­ses et peti­tes et moy­ennes ent­re­pri­ses“L’ar­tic­le 2 de l’an­ne­xe de la recom­man­da­ti­on 2003/361/CE de la Com­mis­si­on (5 ) dev­rait s’appliquer.

Con­sidé­rants

(14) La pro­tec­tion accor­dée par le pré­sent règle­ment dev­rait s’ap­pli­quer au trai­te­ment des don­nées à carac­tère per­son­nel des per­son­nes phy­si­ques, indé­pen­dam­ment de leur natio­na­li­té ou de leur lieu de rési­dence. Le pré­sent règle­ment ne s’ap­pli­que pas au trai­te­ment des don­nées à carac­tère per­son­nel des per­son­nes mora­les, et notam­ment des socié­tés con­sti­tuées en tant que per­son­nes mora­les, y com­pris le nom, la for­me juri­di­que ou les coor­don­nées de la per­son­ne morale.

(15) Afin d’é­vi­ter tout ris­que sérieux de con­tour­ne­ment des règles, la pro­tec­tion des per­son­nes phy­si­ques dev­rait être neu­tre sur le plan tech­no­lo­gi­que et ne dev­rait pas dépend­re des tech­ni­ques uti­li­sées. La pro­tec­tion des per­son­nes phy­si­ques dev­rait s’ap­pli­quer au trai­te­ment auto­ma­ti­sé de don­nées à carac­tère per­son­nel com­me au trai­te­ment manu­el de don­nées à carac­tère per­son­nel, lorsque les don­nées à carac­tère per­son­nel sont stockées ou sont desti­nées à être stockées dans un système de fichiers. Les dos­siers ou coll­ec­tions de dos­siers, ain­si que leurs pages de gar­de, qui ne sont pas clas­sés selon cer­ta­ins critères ne dev­rai­ent pas ent­rer dans le champ d’ap­pli­ca­ti­on du pré­sent règlement.

(16) Le pré­sent règle­ment ne s’ap­pli­que pas aux que­sti­ons rela­ti­ves à la pro­tec­tion des droits et liber­tés fon­da­men­taux et à la lib­re cir­cula­ti­on des don­nées à carac­tère per­son­nel en rap­port avec des acti­vi­tés qui ne relè­vent pas du champ d’ap­pli­ca­ti­on du droit de l’U­ni­on, tel­les que les acti­vi­tés liées à la sécu­ri­té natio­na­le. Le pré­sent règle­ment ne s’ap­pli­que pas au trai­te­ment des don­nées à carac­tère per­son­nel effec­tué par les États mem­bres dans le cad­re de la poli­tique étran­gè­re et de sécu­ri­té com­mu­ne de l’Union.

(17) Le règle­ment (CE) no 45/2001 du Par­le­ment euro­pé­en et du Con­seil (6 ) s’ap­pli­que au trai­te­ment des don­nées à carac­tère per­son­nel par les insti­tu­ti­ons, orga­nes et orga­nis­mes de l’U­ni­on. Le règle­ment (CE) no 45/2001 et tout aut­re acte juri­di­que de l’U­ni­on régis­sant ce trai­te­ment de don­nées à carac­tère per­son­nel dev­rai­ent être adap­tés aux prin­cipes et aux règles énon­cés dans le pré­sent règle­ment et appli­qués à la lumiè­re de celui-ci. Afin de garan­tir un cad­re juri­di­que soli­de et cohé­rent dans le domaine de la pro­tec­tion des don­nées au sein de l’U­ni­on, les adap­t­ati­ons néces­saires du règle­ment (CE) no 45/2001 dev­rai­ent être effec­tuées après l’ad­op­ti­on du pré­sent règle­ment, de sor­te qu’el­les pui­s­sent être appli­quées en même temps que le pré­sent règlement.

(18) Le pré­sent règle­ment ne s’ap­pli­que pas au trai­te­ment de don­nées à carac­tère per­son­nel effec­tué par une per­son­ne phy­si­que pour l’e­xer­ci­ce d’ac­ti­vi­tés exclu­si­ve­ment per­son­nel­les ou fami­lia­les et donc sans rap­port avec une acti­vi­té pro­fes­si­on­nel­le ou éco­no­mi­que. La tenue d’u­ne cor­re­spond­ance ou d’an­nu­ai­res d’adres­ses ou l’uti­li­sa­ti­on de réseaux soci­aux et d’ac­ti­vi­tés en ligne dans le cad­re de tel­les acti­vi­tés pour­rai­ent éga­le­ment être con­sidé­rées com­me des acti­vi­tés per­son­nel­les ou fami­lia­les. Tou­te­fois, le pré­sent règle­ment s’ap­pli­que aux respons­ables du trai­te­ment ou aux sous-trai­tants qui four­nis­sent les outils de trai­te­ment des don­nées à carac­tère per­son­nel pour de tel­les acti­vi­tés per­son­nel­les ou familiales.

(19) La pro­tec­tion des per­son­nes phy­si­ques à l’é­gard du trai­te­ment des don­nées à carac­tère per­son­nel par les auto­ri­tés com­pé­ten­tes à des fins de pré­ven­ti­on et de détec­tion des infrac­tions péna­les, d’en­quêtes et de pour­suites en la matiè­re ou d’exé­cu­ti­on de sanc­tions péna­les, y com­pris la pro­tec­tion cont­re les men­aces pour la sécu­ri­té publi­que et la pré­ven­ti­on de tel­les men­aces, ain­si que la lib­re cir­cula­ti­on de ces don­nées, sont régies par un acte juri­di­que distinct de l’U­ni­on. Par con­sé­quent, le pré­sent règle­ment ne dev­rait pas s’ap­pli­quer aux acti­vi­tés de trai­te­ment de ce type. Tou­te­fois, les don­nées à carac­tère per­son­nel trai­tées par les auto­ri­tés publi­ques en ver­tu du pré­sent règle­ment dev­rai­ent, lorsqu’el­les sont uti­li­sées pour les fina­li­tés sus­ment­i­onnées, être régies par un acte juri­di­que de l’U­ni­on plus spé­ci­fi­que, à savoir la direc­ti­ve (UE) 2016/680 du Par­le­ment euro­pé­en et du Con­seil (7). Les États mem­bres peu­vent con­fier aux auto­ri­tés com­pé­ten­tes, au sens de la direc­ti­ve (UE) 2016/680, des tâches qui ne sont pas néces­saire­ment exé­cu­tées à des fins de pré­ven­ti­on et de détec­tion des infrac­tions péna­les, d’en­quêtes et de pour­suites en la matiè­re ou d’exé­cu­ti­on des pei­nes, y com­pris la pro­tec­tion cont­re les men­aces pour la sécu­ri­té publi­que et la pré­ven­ti­on de tel­les men­aces, de sor­te que le trai­te­ment de don­nées à carac­tère per­son­nel pour ces aut­res fina­li­tés relè­ve du champ d’ap­pli­ca­ti­on du pré­sent règle­ment dans la mesu­re où il ent­re dans le champ d’ap­pli­ca­ti­on du droit de l’U­ni­on. En ce qui con­cer­ne le trai­te­ment de don­nées à carac­tère per­son­nel par ces auto­ri­tés à des fins rele­vant du champ d’ap­pli­ca­ti­on du pré­sent règle­ment, les États mem­bres dev­rai­ent pou­voir main­te­nir ou intro­dui­re des dis­po­si­ti­ons plus spé­ci­fi­ques afin d’ad­ap­ter l’ap­pli­ca­ti­on des règles du pré­sent règle­ment. Ces dis­po­si­ti­ons peu­vent défi­nir plus pré­cis­é­ment les con­di­ti­ons de trai­te­ment des don­nées à carac­tère per­son­nel par ces auto­ri­tés com­pé­ten­tes pour ces aut­res fina­li­tés, en tenant comp­te de la struc­tu­re con­sti­tu­ti­on­nel­le, orga­ni­sa­ti­on­nel­le et admi­ni­stra­ti­ve de l’É­tat membre con­cer­né. Dans la mesu­re où le pré­sent règle­ment s’ap­pli­que au trai­te­ment de don­nées à carac­tère per­son­nel par des per­son­nes pri­vées, il dev­rait pré­voir que les États mem­bres peu­vent, dans cer­tai­nes con­di­ti­ons, limi­ter cer­tai­nes obli­ga­ti­ons et cer­ta­ins droits par voie légis­la­ti­ve si cet­te limi­ta­ti­on con­sti­tue une mesu­re néces­saire et pro­por­ti­onnée, au sein d’u­ne socié­té démo­cra­tique, pour sau­vegar­der cer­ta­ins inté­rêts importants, notam­ment la sécu­ri­té publi­que et la pré­ven­ti­on, la recher­che, la détec­tion et la pour­suite d’in­frac­tions péna­les ou l’exé­cu­ti­on de la justi­ce, y com­pris la pro­tec­tion cont­re les men­aces pour la sécu­ri­té publi­que et la pré­ven­ti­on de tel­les men­aces. Cela est important, par exemp­le, dans le cad­re de la lut­te cont­re le blan­chi­ment d’ar­gent ou du tra­vail des labo­ra­toires de poli­ce scientifique.

(20) Bien que le pré­sent règle­ment s’ap­pli­que, ent­re aut­res, aux acti­vi­tés des juri­dic­tions et des aut­res auto­ri­tés judi­ciai­res, le droit de l’U­ni­on ou le droit des États mem­bres pour­rait pré­cis­er les opé­ra­ti­ons et les pro­cé­du­res de trai­te­ment à appli­quer au trai­te­ment de don­nées à carac­tère per­son­nel par les juri­dic­tions et les aut­res auto­ri­tés judi­ciai­res. Afin de ne pas por­ter att­ein­te à l’in­dé­pen­dance du pou­voir judi­ciai­re dans l’e­xer­ci­ce de ses fonc­tions juri­dic­tion­nel­les, y com­pris dans la pri­se de décis­i­ons, les auto­ri­tés de con­trô­le ne dev­rai­ent pas être com­pé­ten­tes pour le trai­te­ment de don­nées à carac­tère per­son­nel effec­tué par les juri­dic­tions dans le cad­re de leurs acti­vi­tés judi­ciai­res. Le con­trô­le de ces opé­ra­ti­ons de trai­te­ment de don­nées dev­rait pou­voir être con­fié à des orga­nes spé­ci­fi­ques au sein du système judi­ciai­re de l’É­tat membre, qui dev­rai­ent notam­ment veil­ler au respect des dis­po­si­ti­ons du pré­sent règle­ment, mieux sen­si­bi­li­ser les juges et les pro­cur­eurs aux obli­ga­ti­ons qui leur incom­bent en ver­tu du pré­sent règle­ment et trai­ter les plain­tes rela­ti­ves à ces opé­ra­ti­ons de trai­te­ment de données.

(21) Le pré­sent règle­ment n’af­fec­te pas l’ap­pli­ca­ti­on de la direc­ti­ve 2000/31/CE du Par­le­ment euro­pé­en et du Con­seil (8 ), et notam­ment des dis­po­si­ti­ons des artic­les 12 à 15 de ladi­te direc­ti­ve con­cer­nant la responsa­bi­li­té des pre­sta­tai­res de ser­vices de pure inter­mé­dia­ti­on. Ladi­te direc­ti­ve vise à con­tri­buer au bon fonc­tion­ne­ment du mar­ché inté­ri­eur en assu­rant la lib­re cir­cula­ti­on des ser­vices de la socié­té de l’in­for­ma­ti­on ent­re les États membres.

Con­sidé­rants

(22) Tout trai­te­ment de don­nées à carac­tère per­son­nel effec­tué dans le cad­re des acti­vi­tés d’un éta­blis­se­ment d’un responsable du trai­te­ment ou d’un sous-trai­tant dans l’U­ni­on doit être effec­tué con­for­mé­ment au pré­sent règle­ment, que le trai­te­ment ait lieu dans l’U­ni­on ou en dehors de cel­le-ci. Un éta­blis­se­ment sup­po­se l’e­xer­ci­ce effec­tif et réel d’u­ne acti­vi­té par une enti­té sta­ble. La for­me juri­di­que de cet­te enti­té, qu’il s’a­gis­se d’u­ne suc­cur­sa­le ou d’u­ne filia­le dotée de la per­son­na­li­té juri­di­que, n’est pas déter­mi­nan­te à cet égard.

(23) Afin de ne pas pri­ver une per­son­ne phy­si­que de la pro­tec­tion garan­tie par le pré­sent règle­ment, le trai­te­ment de don­nées à carac­tère per­son­nel de per­son­nes con­cer­nées se trou­vant dans l’U­ni­on par un responsable du trai­te­ment ou un sous-trai­tant non éta­b­li dans l’U­ni­on dev­rait être sou­mis au pré­sent règle­ment si ce trai­te­ment a pour objet d’offrir des biens ou des ser­vices, à tit­re oné­reux ou gra­tuit, à ces per­son­nes con­cer­nées. Pour déter­mi­ner si ce responsable du trai­te­ment ou ce sous-trai­tant off­re des biens ou des ser­vices à des per­son­nes con­cer­nées se trou­vant dans l’U­ni­on, il con­vi­ent d’é­ta­b­lir si le responsable du trai­te­ment ou le sous-trai­tant a mani­fe­stem­ent l’in­ten­ti­on d’offrir des ser­vices à des per­son­nes con­cer­nées dans un ou plu­sieurs États mem­bres de l’U­ni­on. Si la simp­le acce­s­si­bi­li­té du site web du responsable du trai­te­ment, du sous-trai­tant ou d’un inter­mé­di­ai­re dans l’U­ni­on, d’u­ne adres­se élec­tro­ni­que ou d’aut­res coor­don­nées, ou l’uti­li­sa­ti­on d’u­ne lan­gue com­mu­n­é­ment uti­li­sée dans le pays tiers où le responsable du trai­te­ment est éta­b­li, ne con­sti­tu­ent pas un indi­ce suf­fi­sant à cet égard, d’aut­res fac­teurs, tels que l’uti­li­sa­ti­on d’u­ne lan­gue ou d’u­ne mon­naie, en usa­ge dans un ou plu­sieurs États mem­bres, asso­ciée à la pos­si­bi­li­té de com­man­der des biens et des ser­vices dans cet­te aut­re lan­gue, ou la men­ti­on de cli­ents ou d’uti­li­sa­teurs situés dans l’U­ni­on, indi­quent que le responsable a l’in­ten­ti­on d’offrir des biens ou des ser­vices aux per­son­nes situées dans l’Union.

(24) Le trai­te­ment de don­nées à carac­tère per­son­nel de per­son­nes con­cer­nées se trou­vant dans l’U­ni­on par un responsable du trai­te­ment ou un sous-trai­tant non éta­b­li dans l’U­ni­on dev­rait éga­le­ment être sou­mis au pré­sent règle­ment s’il est desti­né à sui­v­re le com­porte­ment de ces per­son­nes dans la mesu­re où leur com­porte­ment a lieu dans l’U­ni­on. Le fait qu’u­ne acti­vi­té de trai­te­ment vise à obser­ver le com­porte­ment des per­son­nes con­cer­nées dev­rait être déter­mi­né par le sui­vi de leurs acti­vi­tés sur l’in­ter­net, y com­pris l’uti­li­sa­ti­on ulté­ri­eu­re éven­tu­el­le de tech­ni­ques de trai­te­ment des don­nées à carac­tère per­son­nel qui éta­blis­sent le pro­fil d’u­ne per­son­ne phy­si­que, notam­ment en vue de prend­re des décis­i­ons la con­cer­nant ou d’ana­ly­ser ou de pré­voir ses pré­fé­ren­ces, son com­porte­ment ou ses habi­tu­des personnelles.

(25) Si, en ver­tu du droit inter­na­tio­nal, le droit d’un État membre est appli­ca­ble, par exemp­le dans une repré­sen­ta­ti­on diplo­ma­tique ou con­su­lai­re d’un État membre, le règle­ment dev­rait éga­le­ment s’ap­pli­quer à un responsable non éta­b­li dans l’Union.

Aux fins du pré­sent règle­ment, on entend par

1. „don­nées à carac­tère per­son­neltou­te infor­ma­ti­on se rap­portant à une per­son­ne phy­si­que iden­ti­fi­ée ou iden­ti­fia­ble (ci-après dénom­mée “per­son­ne phy­si­que”).per­son­ne con­cer­née”) ; est répu­tée iden­ti­fia­ble une per­son­ne phy­si­que qui peut être iden­ti­fi­ée, direc­te­ment ou indi­rec­te­ment, notam­ment par réfé­rence à un iden­ti­fi­ant, tel qu’un nom, un numé­ro d’i­den­ti­fi­ca­ti­on, des don­nées de loca­li­sa­ti­on, un iden­ti­fi­ant en ligne, ou à une ou plu­sieurs carac­té­ri­sti­ques par­ti­cu­liè­res, pro­pres à l’i­den­ti­té phy­si­que, phy­sio­lo­gi­que, géné­tique, psy­chi­que, éco­no­mi­que, cul­tu­rel­le ou socia­le de cet­te per­son­ne physique ;

Con­sidé­rants

(26) Les prin­cipes de pro­tec­tion des don­nées dev­rai­ent s’ap­pli­quer à tou­te infor­ma­ti­on se rap­portant à une per­son­ne phy­si­que iden­ti­fi­ée ou iden­ti­fia­ble. Les don­nées à carac­tère per­son­nel pseud­ony­mi­sées qui pour­rai­ent être attri­buées à une per­son­ne phy­si­que par l’uti­li­sa­ti­on d’in­for­ma­ti­ons sup­p­lé­men­tai­res dev­rai­ent être con­sidé­rées com­me des infor­ma­ti­ons con­cer­nant une per­son­ne phy­si­que iden­ti­fia­ble. Pour déter­mi­ner si une per­son­ne phy­si­que est iden­ti­fia­ble, il con­vi­ent de prend­re en con­sidé­ra­ti­on tous les moy­ens rai­sonnablem­ent sus­cep­ti­bles d’êt­re uti­li­sés par le responsable du trai­te­ment ou par une aut­re per­son­ne pour iden­ti­fier direc­te­ment ou indi­rec­te­ment la per­son­ne phy­si­que, com­me par exemp­le le tri. Pour déter­mi­ner si des moy­ens sont rai­sonnablem­ent sus­cep­ti­bles d’êt­re uti­li­sés pour iden­ti­fier la per­son­ne phy­si­que, il con­vi­ent de prend­re en con­sidé­ra­ti­on tous les fac­teurs objec­tifs, tels que le coût de l’i­den­ti­fi­ca­ti­on et le temps néces­saire pour y par­ve­nir, en tenant comp­te de la tech­no­lo­gie et des évo­lu­ti­ons tech­no­lo­gi­ques dis­po­ni­bles au moment du trai­te­ment. Les prin­cipes de pro­tec­tion des don­nées ne dev­rai­ent donc pas s’ap­pli­quer aux infor­ma­ti­ons anony­mes, c’est-à-dire aux infor­ma­ti­ons qui ne se rap­portent pas à une per­son­ne phy­si­que iden­ti­fi­ée ou iden­ti­fia­ble, ou aux don­nées à carac­tère per­son­nel qui ont été ren­dues anony­mes de tel­le sor­te que la per­son­ne con­cer­née ne peut pas ou ne peut plus être iden­ti­fi­ée. Ce règle­ment ne con­cer­ne donc pas le trai­te­ment de ces don­nées anony­mes, même à des fins sta­ti­sti­ques ou de recherche.

(27) Le pré­sent règle­ment ne s’ap­pli­que pas aux don­nées à carac­tère per­son­nel con­cer­nant des per­son­nes décé­dées. Les États mem­bres peu­vent pré­voir des règles rela­ti­ves au trai­te­ment des don­nées à carac­tère per­son­nel con­cer­nant des per­son­nes décédées.

(28) L’ap­pli­ca­ti­on de la pseud­ony­mi­sa­ti­on aux don­nées à carac­tère per­son­nel peut rédui­re les ris­ques pour les per­son­nes con­cer­nées et aider les respons­ables du trai­te­ment et les sous-trai­tants à respec­ter leurs obli­ga­ti­ons en matiè­re de pro­tec­tion des don­nées. En intro­dui­sant expli­ci­te­ment la “Pseud­ony­mi­sa­ti­on” dans le pré­sent règle­ment n’a pas pour but d’ex­clu­re d’aut­res mesu­res de pro­tec­tion des données.

(29) Afin d’en­cou­ra­ger l’uti­li­sa­ti­on de la pseud­ony­mi­sa­ti­on dans le trai­te­ment des don­nées à carac­tère per­son­nel, les mesu­res de pseud­ony­mi­sa­ti­on qui per­met­tent tou­te­fois une ana­ly­se géné­ra­le dev­rai­ent être pos­si­bles auprès du même responsable du trai­te­ment si celui-ci a pris les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les néces­saires pour garan­tir – pour le trai­te­ment en que­sti­on – la mise en œuvre du pré­sent règle­ment, tout en veil­lant à ce que les infor­ma­ti­ons sup­p­lé­men­tai­res per­met­tant d’at­tri­buer les don­nées à carac­tère per­son­nel à une per­son­ne con­cer­née spé­ci­fi­que soi­ent con­ser­vées sépa­ré­ment. Le responsable du trai­te­ment des don­nées à carac­tère per­son­nel doit indi­quer les per­son­nes auto­ri­sées auprès de ce responsable.

(30) Les per­son­nes phy­si­ques peu­vent se voir attri­buer des iden­ti­fi­ants en ligne, tels que des adres­ses IP et des iden­ti­fi­ants de coo­kies four­nis par son appa­reil ou des appli­ca­ti­ons et outils logi­ciels ou des pro­to­co­les, ou d’aut­res iden­ti­fi­ants tels que des iden­ti­fi­ants de radio­fré­quence. Cela peut lais­ser des traces qui, en par­ti­cu­lier en com­bi­nai­son avec des iden­ti­fi­ants uni­ques et d’aut­res infor­ma­ti­ons reçues par le ser­veur, peu­vent être uti­li­sées pour éta­b­lir le pro­fil des per­son­nes phy­si­ques et les identifier.

2.„Trai­te­ment“tou­te opé­ra­ti­on ou ensem­ble d’opé­ra­ti­ons effec­tuées ou non à l’ai­de de pro­cé­dés auto­ma­ti­sés et appli­quées à des don­nées à carac­tère per­son­nel, tel­les que la coll­ec­te, l’en­re­gi­stre­ment, l’or­ga­ni­sa­ti­on, le clas­se­ment, la con­ser­va­ti­on, l’ad­ap­t­ati­on ou la modi­fi­ca­ti­on, l’ex­tra­c­tion, la con­sul­ta­ti­on, l’uti­li­sa­ti­on, la com­mu­ni­ca­ti­on par trans­mis­si­on, dif­fu­si­on ou tou­te aut­re for­me de mise à dis­po­si­ti­on, le rappro­che­ment ou l’in­ter­con­ne­xi­on, la limi­ta­ti­on, l’effa­ce­ment ou la destruction ;

3.„Limi­ta­ti­on du trai­te­ment“le mar­quage de don­nées à carac­tère per­son­nel enre­gi­strées dans le but de limi­ter leur trai­te­ment futur ;

4.„Pro­fi­la­ge“tout type de trai­te­ment auto­ma­ti­sé de don­nées à carac­tère per­son­nel con­si­stant à uti­li­ser ces don­nées à carac­tère per­son­nel pour éva­luer cer­ta­ins aspects per­son­nels rela­tifs à une per­son­ne phy­si­que, notam­ment pour ana­ly­ser ou préd­ire des aspects con­cer­nant le ren­de­ment au tra­vail, la situa­ti­on éco­no­mi­que, la san­té, les pré­fé­ren­ces per­son­nel­les, les inté­rêts, la fia­bi­li­té, le com­porte­ment, la loca­li­sa­ti­on ou les dépla­ce­ments de cet­te per­son­ne physique ;

5.„Pseud­ony­mi­sa­ti­on“le trai­te­ment de don­nées à carac­tère per­son­nel de tel­le sor­te que ces don­nées ne pui­s­sent plus être attri­buées à une per­son­ne con­cer­née spé­ci­fi­que sans l’ai­de d’in­for­ma­ti­ons sup­p­lé­men­tai­res, à con­di­ti­on que ces infor­ma­ti­ons sup­p­lé­men­tai­res soi­ent con­ser­vées sépa­ré­ment et sou­mi­ses à des mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les garan­tis­sant que les don­nées à carac­tère per­son­nel ne sont pas attri­buées à une per­son­ne phy­si­que iden­ti­fi­ée ou identifiable ;

6.„Système de fichiers“tout ensem­ble struc­tu­ré de don­nées à carac­tère per­son­nel acce­s­si­bles selon des critères déter­mi­nés, que cet ensem­ble soit cen­tra­li­sé, décen­tra­li­sé ou orga­ni­sé selon des critères fonc­tion­nels ou géographiques ;

7.„Responsable“la per­son­ne phy­si­que ou mora­le, l’au­to­ri­té publi­que, le ser­vice ou un aut­re orga­nis­me qui, seul ou con­join­te­ment avec d’aut­res, déter­mi­ne les fina­li­tés et les moy­ens du trai­te­ment de don­nées à carac­tère per­son­nel ; lorsque les fina­li­tés et les moy­ens de ce trai­te­ment sont déter­mi­nés par le droit de l’U­ni­on ou le droit des États mem­bres, le responsable du trai­te­ment ou les critères spé­ci­fi­ques appli­ca­bles à sa dési­gna­ti­on peu­vent être pré­vus par le droit de l’U­ni­on ou le droit des États membres ;

8.„Sous-trai­tant” une per­son­ne phy­si­que ou mora­le, une auto­ri­té publi­que, un ser­vice ou un aut­re orga­nis­me qui trai­te des don­nées à carac­tère per­son­nel pour le comp­te du responsable du traitement ;

9.„Récep­teur“une per­son­ne phy­si­que ou mora­le, une auto­ri­té publi­que, un ser­vice ou un aut­re orga­nis­me auquel des don­nées à carac­tère per­son­nel sont divul­guées, qu’il s’a­gis­se ou non d’un tiers. Tou­te­fois, les auto­ri­tés sus­cep­ti­bles de rece­voir des don­nées à carac­tère per­son­nel dans le cad­re d’u­ne mis­si­on d’en­quête spé­ci­fi­que en ver­tu du droit de l’U­ni­on ou du droit des États mem­bres ne sont pas con­sidé­rées com­me des desti­na­tai­res ; le trai­te­ment de ces don­nées par les­di­tes auto­ri­tés s’ef­fec­tue con­for­mé­ment à la légis­la­ti­on appli­ca­ble en matiè­re de pro­tec­tion des don­nées, en fonc­tion des fina­li­tés du traitement ;

10.„Troi­siè­me” une per­son­ne phy­si­que ou mora­le, une auto­ri­té publi­que, un ser­vice ou un aut­re orga­nis­me aut­re que la per­son­ne con­cer­née, le responsable du trai­te­ment, le sous-trai­tant et les per­son­nes qui, pla­cées sous l’au­to­ri­té direc­te du responsable du trai­te­ment ou du sous-trai­tant, sont habi­li­tées à trai­ter les don­nées à carac­tère personnel ;

11.„Con­sen­te­ment“de la per­son­ne con­cer­née, tou­te mani­fe­sta­ti­on de volon­té, expri­mée libre­ment, pour un cas spé­ci­fi­que, en con­nais­sance de cau­se et sans équi­vo­que, sous la for­me d’u­ne décla­ra­ti­on ou de tout aut­re acte con­fir­ma­tif clair par lequel la per­son­ne con­cer­née indi­que qu’el­le con­sent au trai­te­ment des don­nées à carac­tère per­son­nel la concernant ;

Con­sidé­rants

(32) Le con­sen­te­ment dev­rait être don­né par une action affir­ma­ti­ve clai­re, volon­tai­re, spé­ci­fi­que, infor­mée et non équi­vo­que par laquel­le la per­son­ne con­cer­née accep­te que des don­nées à carac­tère per­son­nel la con­cer­nant fas­sent l’ob­jet d’un trai­te­ment, par exemp­le sous la for­me d’u­ne décla­ra­ti­on écri­te, qui peut éga­le­ment être fai­te par voie élec­tro­ni­que, ou d’u­ne décla­ra­ti­on ora­le. Cela pour­rait se fai­re, par exemp­le, en cochant une case lors de la visi­te d’un site inter­net, en sélec­tion­nant des paramè­tres tech­ni­ques pour des ser­vices de la socié­té de l’in­for­ma­ti­on ou en faisant une aut­re décla­ra­ti­on ou en adop­tant un com­porte­ment par lequel la per­son­ne con­cer­née indi­que clai­re­ment, dans le con­tex­te con­cer­né, son con­sen­te­ment au trai­te­ment envi­sa­gé de ses don­nées à carac­tère per­son­nel. Le silence, les cases déjà cochées ou l’inac­tion de la per­son­ne con­cer­née ne dev­rai­ent donc pas con­sti­tuer un con­sen­te­ment. Le con­sen­te­ment dev­rait por­ter sur tou­tes les opé­ra­ti­ons de trai­te­ment effec­tuées dans le même but ou pour les mêmes fina­li­tés. Si le trai­te­ment a plu­sieurs fina­li­tés, le con­sen­te­ment dev­rait être don­né pour tou­tes ces fina­li­tés. Lorsque la per­son­ne con­cer­née est invi­tée à don­ner son con­sen­te­ment par voie élec­tro­ni­que, cet­te invi­ta­ti­on doit être fai­te de maniè­re clai­re et con­cise, sans inter­rup­ti­on inu­tile du ser­vice pour lequel le con­sen­te­ment est donné.

(33) Sou­vent, la fina­li­té du trai­te­ment des don­nées à carac­tère per­son­nel à des fins de recher­che sci­en­ti­fi­que ne peut pas être entiè­re­ment pré­cis­ée au moment de la coll­ec­te des don­nées à carac­tère per­son­nel. Par con­sé­quent, les per­son­nes con­cer­nées dev­rai­ent être auto­ri­sées à don­ner leur con­sen­te­ment pour cer­ta­ins domain­es de la recher­che sci­en­ti­fi­que, à con­di­ti­on que cela se fas­se dans le respect des nor­mes éthi­ques recon­nues en matiè­re de recher­che sci­en­ti­fi­que. Les per­son­nes con­cer­nées dev­rai­ent avoir la pos­si­bi­li­té de ne don­ner leur con­sen­te­ment que pour cer­ta­ins domain­es de recher­che ou cer­tai­nes par­ties de pro­jets de recher­che, dans la mesu­re auto­ri­sée par l’ob­jec­tif pour­suivi. Les per­son­nes con­cer­nées dev­rai­ent avoir la pos­si­bi­li­té de ne don­ner leur con­sen­te­ment que pour des domain­es de recher­che spé­ci­fi­ques ou des par­ties de pro­jets de recher­che dans la mesu­re per­mi­se par l’ob­jec­tif poursuivi.

12.„Vio­la­ti­on de la pro­tec­tion des don­nées à carac­tère per­son­nel“une vio­la­ti­on de la sécu­ri­té ent­raînant acci­den­tel­le­ment ou de maniè­re illi­ci­te la des­truc­tion, la per­te, l’al­té­ra­ti­on, la divul­ga­ti­on non auto­ri­sée de don­nées à carac­tère per­son­nel trans­mi­ses, stockées ou trai­tées d’u­ne aut­re maniè­re, ou l’ac­cès non auto­ri­sé à de tel­les données ;

13.„don­nées géné­ti­ques” les don­nées à carac­tère per­son­nel rela­ti­ves aux carac­té­ri­sti­ques géné­ti­ques, héri­tées ou acqui­ses, d’u­ne per­son­ne phy­si­que, qui four­nis­sent des infor­ma­ti­ons pré­cis­es sur la phy­sio­lo­gie ou la san­té de cet­te per­son­ne phy­si­que et qui ont été obte­nues notam­ment par l’ana­ly­se d’un échan­til­lon bio­lo­gi­que pré­le­vé sur cet­te per­son­ne physique ;

Con­sidé­rants

(34) Les don­nées géné­ti­ques dev­rai­ent être défi­nies com­me des don­nées à carac­tère per­son­nel rela­ti­ves aux carac­té­ri­sti­ques géné­ti­ques héri­tées ou acqui­ses d’u­ne per­son­ne phy­si­que, obte­nues par l’ana­ly­se d’un échan­til­lon bio­lo­gi­que pré­le­vé sur cet­te per­son­ne phy­si­que, notam­ment par une ana­ly­se des chro­mo­so­mes, de l’a­ci­de dés­oxy­ri­bo­nu­clé­i­que (ADN) ou de l’a­ci­de ribo­nu­clé­i­que (ARN), ou par l’ana­ly­se de tout aut­re élé­ment per­met­tant d’ob­te­nir des infor­ma­ti­ons équivalentes.

14.„don­nées bio­mé­tri­ques“les don­nées à carac­tère per­son­nel rela­ti­ves aux carac­té­ri­sti­ques phy­si­ques, phy­sio­lo­gi­ques ou com­porte­men­ta­les d’u­ne per­son­ne phy­si­que, obte­nues par des tech­ni­ques spé­cia­les, qui per­met­tent ou con­fir­ment l’i­den­ti­fi­ca­ti­on uni­que de cet­te per­son­ne phy­si­que, tel­les que les images facia­les ou les don­nées dactyloscopiques ;

15.„Don­nées de san­té” les don­nées à carac­tère per­son­nel rela­ti­ves à la san­té phy­si­que ou men­ta­le d’u­ne per­son­ne phy­si­que, y com­pris la pre­sta­ti­on de ser­vices de san­té, et qui révè­lent des infor­ma­ti­ons sur son état de santé ;

Con­sidé­rants

(35) Les don­nées à carac­tère per­son­nel rela­ti­ves à la san­té dev­rai­ent com­prend­re tou­tes les don­nées rela­ti­ves à l’é­tat de san­té d’u­ne per­son­ne con­cer­née qui révè­lent des infor­ma­ti­ons sur l’é­tat de san­té phy­si­que ou men­ta­le pas­sé, pré­sent et futur de la per­son­ne con­cer­née. Il s’a­git notam­ment des infor­ma­ti­ons rela­ti­ves à la per­son­ne phy­si­que recu­eil­lies lors de l’in­scrip­ti­on et de la pre­sta­ti­on de ser­vices de san­té au sens de la direc­ti­ve 2011/24/UE du Par­le­ment euro­pé­en et du Con­seil (9 ), des numé­ros, sym­bo­les ou signes distinc­tifs attri­bués à une per­son­ne phy­si­que afin de l’i­den­ti­fier de maniè­re uni­que à des fins de san­té, des infor­ma­ti­ons obte­nues lors de l’ex­amen ou de l’ana­ly­se d’u­ne par­tie du corps ou d’u­ne sub­stance cor­po­rel­le, y com­pris les don­nées géné­ti­ques et les échan­til­lons bio­lo­gi­ques, ain­si que les infor­ma­ti­ons rela­ti­ves aux mala­dies, aux han­di­caps, aux ris­ques de mala­die, aux anté­cé­dents médi­caux, aux trai­te­ments cli­ni­ques ou à l’é­tat phy­sio­lo­gi­que ou bio­mé­di­cal de la per­son­ne con­cer­née, quel­le que soit l’o­ri­gi­ne des don­nées, qu’il s’a­gis­se d’un méde­cin ou d’un aut­re pro­fes­si­on­nel de la san­té, d’un hôpi­tal, d’un dis­po­si­tif médi­cal ou d’un dis­po­si­tif médi­cal de dia­gno­stic in vitro.

16.„Siè­ge social„

Con­sidé­rants

(36) L’é­ta­blis­se­ment prin­ci­pal du responsable dans l’U­ni­on dev­rait être le lieu de son admi­ni­stra­ti­on cen­tra­le dans l’U­ni­on, à moins que les décis­i­ons con­cer­nant les fina­li­tés et les moy­ens du trai­te­ment des don­nées à carac­tère per­son­nel ne soi­ent pri­ses dans un aut­re éta­blis­se­ment du responsable dans l’U­ni­on, auquel cas ce der­nier dev­rait être con­sidé­ré com­me l’é­ta­blis­se­ment prin­ci­pal. Des critères objec­tifs dev­rai­ent être uti­li­sés pour déter­mi­ner l’é­ta­blis­se­ment prin­ci­pal d’un responsable dans l’U­ni­on, l’un d’ent­re eux étant l’e­xer­ci­ce effec­tif et réel d’ac­ti­vi­tés de gesti­on par une enti­té per­ma­nen­te au sein de laquel­le sont pri­ses les décis­i­ons de prin­ci­pe con­cer­nant les fina­li­tés et les moy­ens du trai­te­ment. Le fait que le trai­te­ment des don­nées à carac­tère per­son­nel soit effec­ti­ve­ment effec­tué en ce lieu ne dev­rait pas être un fac­teur déter­mi­nant. L’e­xi­stence et l’uti­li­sa­ti­on de moy­ens et de pro­cé­du­res tech­ni­ques pour le trai­te­ment de don­nées à carac­tère per­son­nel ou d’ac­ti­vi­tés de trai­te­ment ne con­sti­tu­ent pas en soi un éta­blis­se­ment prin­ci­pal et ne sont donc pas un fac­teur déter­mi­nant pour l’e­xi­stence d’un éta­blis­se­ment prin­ci­pal. L’é­ta­blis­se­ment prin­ci­pal du sous-trai­tant dev­rait être le lieu où le sous-trai­tant a son admi­ni­stra­ti­on prin­ci­pa­le dans l’U­ni­on ou, s’il n’a pas d’ad­mi­ni­stra­ti­on prin­ci­pa­le dans l’U­ni­on, le lieu où les acti­vi­tés de trai­te­ment essen­ti­el­les ont lieu dans l’U­ni­on. Lorsque le responsable du trai­te­ment et le sous-trai­tant sont tous deux con­cer­nés, l’au­to­ri­té de con­trô­le de l’É­tat membre dans lequel le responsable du trai­te­ment a son éta­blis­se­ment prin­ci­pal dev­rait rester l’au­to­ri­té de con­trô­le chef de file com­pé­ten­te, mais l’au­to­ri­té de con­trô­le du sous-trai­tant dev­rait être con­sidé­rée com­me l’au­to­ri­té de con­trô­le con­cer­née et cet­te auto­ri­té de con­trô­le dev­rait par­ti­ci­per à la pro­cé­du­re de coopé­ra­ti­on pré­vue par le pré­sent règle­ment. En tout état de cau­se, les auto­ri­tés de con­trô­le de l’É­tat membre ou des États mem­bres dans les­quels le sous-trai­tant pos­sè­de un ou plu­sieurs éta­blis­se­ments ne dev­rai­ent pas être con­sidé­rées com­me des auto­ri­tés de con­trô­le con­cer­nées si le pro­jet de décis­i­on ne con­cer­ne que le responsable du trai­te­ment. Lorsque le trai­te­ment est effec­tué par un grou­pe d’entre­pri­ses, l’é­ta­blis­se­ment prin­ci­pal de l’entre­pri­se domi­nan­te dev­rait être con­sidé­ré com­me l’é­ta­blis­se­ment prin­ci­pal du grou­pe d’entre­pri­ses, à moins que les fina­li­tés et les moy­ens du trai­te­ment ne soi­ent déter­mi­nés par une aut­re entreprise.

17.„Repré­sen­tant“une per­son­ne phy­si­que ou mora­le éta­b­lie dans l’U­ni­on qui a été dési­gnée par écrit par le responsable du trai­te­ment ou le sous-trai­tant con­for­mé­ment à l’ar­tic­le 27 et qui repré­sen­te le responsable du trai­te­ment ou le sous-trai­tant en ce qui con­cer­ne les obli­ga­ti­ons qui leur incom­bent respec­ti­ve­ment en ver­tu du pré­sent règlement ;

18.„Ent­re­pri­se” une per­son­ne phy­si­que ou mora­le exer­çant une acti­vi­té éco­no­mi­que, quel­le que soit sa for­me juri­di­que, y com­pris les socié­tés de per­son­nes ou les asso­cia­ti­ons exer­çant régu­liè­re­ment une acti­vi­té économique ;

19.„Grou­pe d’entre­pri­ses” un grou­pe con­sti­tué d’u­ne ent­re­pri­se domi­nan­te et des ent­re­pri­ses qui en dépendent ;

Con­sidé­rants

(37) Un grou­pe d’entre­pri­ses dev­rait être con­sti­tué d’u­ne ent­re­pri­se domi­nan­te et des ent­re­pri­ses qui en dépen­dent, l’entre­pri­se domi­nan­te étant cel­le qui peut exer­cer une influence domi­nan­te sur les aut­res ent­re­pri­ses, par exemp­le en rai­son de la pro­prié­té, de la par­ti­ci­pa­ti­on finan­ciè­re ou des règles qui lui sont appli­ca­bles, ou du pou­voir de fai­re appli­quer les règles de pro­tec­tion des don­nées. Une ent­re­pri­se qui con­trô­le le trai­te­ment de don­nées à carac­tère per­son­nel dans des ent­re­pri­ses qui lui sont affi­liées dev­rait être con­sidé­rée, avec ces der­niè­res, com­me une “enti­té”.Grou­pe d’entre­pri­ses”.

20.„des règles inter­nes con­traignan­tes en matiè­re de pro­tec­tion des don­nées“les mesu­res de pro­tec­tion des don­nées à carac­tère per­son­nel qu’un responsable du trai­te­ment ou un sous-trai­tant éta­b­li sur le ter­ri­toire d’un État membre s’en­ga­ge à respec­ter en ce qui con­cer­ne les trans­ferts de don­nées ou une caté­go­rie de trans­ferts de don­nées à carac­tère per­son­nel vers un responsable du trai­te­ment ou un sous-trai­tant appar­tenant au même grou­pe d’entre­pri­ses ou au même grou­pe d’entre­pri­ses exer­çant une acti­vi­té éco­no­mi­que en com­mun, dans un ou plu­sieurs pays tiers ;

21.„Auto­ri­té de sur­veil­lan­ce” un orga­nis­me public indé­pen­dant éta­b­li par un État membre con­for­mé­ment à l’ar­tic­le 51 ;

22.„auto­ri­té de con­trô­le con­cer­née” une auto­ri­té de con­trô­le con­cer­née par le trai­te­ment de don­nées à carac­tère per­son­nel par­ce que

23.„trai­te­ment trans­fron­ta­lier” soit

24.„oppo­si­ti­on per­ti­nen­te et moti­vée“une objec­tion à un pro­jet de décis­i­on quant à la que­sti­on de savoir s’il y a eu vio­la­ti­on du pré­sent règle­ment ou si les mesu­res envi­sa­gées à l’en­cont­re du responsable du trai­te­ment ou du sous-trai­tant sont con­for­mes au pré­sent règle­ment, cet­te objec­tion indi­quant clai­re­ment la por­tée des ris­ques que le pro­jet de décis­i­on fait peser sur les liber­tés et droits fon­da­men­taux des per­son­nes con­cer­nées et, le cas échéant, sur la lib­re cir­cula­ti­on des don­nées à carac­tère per­son­nel dans l’Union ;

25.„Ser­vice de la socié­té de l’in­for­ma­ti­on” un ser­vice au sens de l’ar­tic­le 1er , point 1) b), de la direc­ti­ve (UE) 2015/1535 du Par­le­ment euro­pé­en et du Con­seil (19) ;

26.„orga­ni­sa­ti­on inter­na­tio­na­le“une orga­ni­sa­ti­on inter­na­tio­na­le et ses orga­nes sub­si­di­ai­res ou tou­te aut­re enti­té cré­ée par un accord con­clu ent­re deux ou plu­sieurs pays ou sur la base d’un tel accord.

Con­sidé­rants

(31) Les auto­ri­tés aux­quel­les des don­nées à carac­tère per­son­nel sont divul­guées en ver­tu d’u­ne obli­ga­ti­on léga­le dans l’e­xer­ci­ce de leurs fonc­tions offi­ci­el­les, tel­les que les auto­ri­tés fis­ca­les et doua­niè­res, les cel­lu­les de rens­eig­ne­ment finan­cier, les auto­ri­tés admi­ni­stra­ti­ves indé­pen­dan­tes ou les auto­ri­tés des mar­chés finan­ciers char­gées de la régu­la­ti­on et de la sur­veil­lan­ce des mar­chés des valeurs mobi­liè­res, ne dev­rai­ent pas être con­sidé­rées com­me des desti­na­tai­res lorsqu’el­les reçoi­vent des don­nées à carac­tère per­son­nel néces­saires à l’exé­cu­ti­on – con­for­mé­ment au droit de l’U­ni­on ou au droit des États mem­bres – d’u­ne mis­si­on d’en­quête indi­vi­du­el­le dans l’in­té­rêt géné­ral. Les deman­des de divul­ga­ti­on éma­n­ant des auto­ri­tés publi­ques dev­rai­ent tou­jours être for­mulées par écrit, être moti­vées, avoir un carac­tère occa­si­on­nel et ne pas con­cer­ner des systè­mes de fichiers com­plets ou ent­raî­ner l’in­ter­con­ne­xi­on de systè­mes de fichiers. Le trai­te­ment des don­nées à carac­tère per­son­nel par les­di­tes auto­ri­tés dev­rait respec­ter les règles de pro­tec­tion des don­nées appli­ca­bles aux fins du traitement.

Con­sidé­rants

39 Tout trai­te­ment de don­nées à carac­tère per­son­nel dev­rait être lici­te et loy­al. Les per­son­nes phy­si­ques dev­rai­ent être infor­mées en tou­te trans­pa­rence de la coll­ec­te, de l’uti­li­sa­ti­on, de l’ac­cès ou de tout aut­re trai­te­ment de don­nées à carac­tère per­son­nel les con­cer­nant, ain­si que de la mesu­re dans laquel­le ces don­nées sont et seront trai­tées à l’a­ve­nir. Le prin­ci­pe de trans­pa­rence impli­que que tou­tes les infor­ma­ti­ons et com­mu­ni­ca­ti­ons rela­ti­ves au trai­te­ment de ces don­nées à carac­tère per­son­nel soi­ent faci­le­ment acce­s­si­bles et com­pré­hen­si­bles et rédi­gées dans un lan­ga­ge clair et simp­le. Ce prin­ci­pe con­cer­ne notam­ment les infor­ma­ti­ons rela­ti­ves à l’i­den­ti­té du responsable du trai­te­ment et aux fina­li­tés du trai­te­ment, ain­si que d’aut­res infor­ma­ti­ons garan­tis­sant un trai­te­ment équi­ta­ble et trans­pa­rent à l’é­gard des per­son­nes phy­si­ques con­cer­nées, ain­si que leur droit d’ob­te­nir con­fir­ma­ti­on et infor­ma­ti­on sur les don­nées à carac­tère per­son­nel les con­cer­nant qui sont trai­tées. Les per­son­nes phy­si­ques dev­rai­ent être infor­mées des ris­ques, des règles, des garan­ties et des droits liés au trai­te­ment des don­nées à carac­tère per­son­nel et de la maniè­re dont elles peu­vent fai­re valoir leurs droits à cet égard. En par­ti­cu­lier, les fina­li­tés spé­ci­fi­ques pour les­quel­les les don­nées à carac­tère per­son­nel sont trai­tées dev­rai­ent être clai­res, légiti­mes et con­nues au moment de la coll­ec­te des don­nées à carac­tère per­son­nel. Les don­nées à carac­tère per­son­nel dev­rai­ent être adé­qua­tes, per­ti­nen­tes et limi­tées à ce qui est néces­saire au regard des fina­li­tés pour les­quel­les elles sont trai­tées. Cela exi­ge notam­ment que la durée de con­ser­va­ti­on des don­nées à carac­tère per­son­nel soit limi­tée au strict mini­mum néces­saire. Les don­nées à carac­tère per­son­nel ne dev­rai­ent être trai­tées que si les fina­li­tés du trai­te­ment ne peu­vent rai­sonnablem­ent être att­ein­tes par d’aut­res moy­ens. Afin de garan­tir que les don­nées à carac­tère per­son­nel ne soi­ent pas con­ser­vées plus long­temps que néces­saire, le responsable du trai­te­ment dev­rait pré­voir des délais pour leur effa­ce­ment ou leur réex­amen péri­odi­que. Tou­tes les mesu­res rai­sonn­ables dev­rai­ent être pri­ses pour que les don­nées à carac­tère per­son­nel inexac­tes soi­ent effa­cées ou rec­ti­fi­ées. Les don­nées à carac­tère per­son­nel dev­rai­ent être trai­tées de maniè­re à ce que leur sécu­ri­té et leur con­fi­den­tia­li­té soi­ent suf­fi­sam­ment garan­ties, notam­ment en empêchant les per­son­nes non auto­ri­sées d’ac­cé­der aux don­nées et d’uti­li­ser les don­nées ou l’é­qui­pe­ment avec lequel elles sont traitées.

Artic­le 6 Légiti­mi­té du traitement