liens parents enfant sefca Europe

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPEEN ET AU MEDIATEUR EUROPEEN concernant les RELATIONS AVEC LE PLAIGNANT EN MATIERE D'INFRACTIONS AU DROIT COMMUNAUTAIRE Exercez vos droits

Exercez vos droits


Le droit européen concède des droits et impose des obligations non seulement aux États membres, mais aussi aux citoyens et aux entreprises auxquels un nombre de règles s’appliquent directement. Il fait partie intégrante du système juridique des États membres qui sont avant tout responsables de la mise en œuvre de ces règles et de leur application correcte. Vous êtes donc en droit d’attendre des autorités nationales sur l’ensemble du territoire de l’Union européenne qu’elles appliquent correctement vos droits européens.

Toute personne peut mettre en cause un État membre en déposant une plainte auprès de la Commission européenne pour dénoncer une mesure (législative, réglementaire ou administrative) ou une pratique imputable à un État membre qu'elle estime contraire à une disposition ou à un principe de droit de l'Union. Vous n'avez pas à démontrer l'existence d'un intérêt à agir; vous n'avez pas non plus à prouver que vous êtes principalement et directement concerné par l'infraction que vous dénoncez. Cependant, pour qu'une plainte soit jugée recevable, il faut qu'elle dénonce une violation du droit de l'Union par un État membre; elle ne peut donc pas concerner un litige privé.

1. Dépôt d'une plainte
2. Traitement de la plainte
3. Voies de recours nationales
4. Garanties administratives
5. Protection du plaignant et des données à caractère personnel
6. Recours au médiateur européen


1. Dépôt d'une plainte

Les plaintes doivent être soumises par écrit sous forme de lettre, de télécopie ou de courriel.

Il est très important que le dossier de plainte soit complet et précis, en particulier en ce qui concerne les faits reprochés à l’État membre en cause, les démarches que vous avez déjà entreprises, à quelque niveau que ce soit, et, dans la mesure du possible, les dispositions du droit de l'Union que vous considérez comme enfreintes et l’existence d’un éventuel financement de l'Union. La démarche écrite dénonçant des mesures ou pratiques contraires au droit de l'Union dans les États membres est examinée dans le délai d'un mois au regard de sa qualification en tant que plainte.

Toute correspondance adressée au Secrétariat général de la Commission européenne fait l'objet d'un premier accusé de réception dans les quinze jours ouvrables suivant sa réception selon les règles du code de bonne conduite administrative. En cas de doute sur la nature d’une correspondance, le Secrétariat général de la Commission européenne consulte le ou les services concernés dans les quinze jours calendrier de sa réception.

Toutes les correspondances susceptibles de faire l'objet d'une instruction comme plainte sont enregistrées dans une base de données gerée par le Secrétariat général de la Commission européenne.

L'examen de toute correspondance et/ou plainte quant au fond incombe aux directions générales et services de la Commission européenne.

En cas de plaintes nombreuses sur un même grief, les plaintes seront enregistrées par la Commission européenne sous un numéro unique. début de la page

2. Traitement de la plainte

Le traitement d’une affaire dans le cadre de la procédure d’infraction peut suivre les phases suivantes :


2.1. Phase de recherche

À la suite de votre plainte, il peut s’avérer nécessaire de rechercher des informations supplémentaires pour déterminer les faits et les points de droit concernant votre dossier.

Au cas où la Commission européenne prendrait contact avec les autorités de l’État membre contre lequel votre plainte est dirigée, elle ne divulguera votre identité que si vous l'y avez autorisée expressément.

S'il y a lieu, vous serez invité à fournir d'autres informations.

À la suite de l’examen des faits et à la lumière des règles et des priorités établies par la Commission européenne pour l’engagement et la poursuite des procédures d’infraction, les services de la Commission européenne apprécieront si une suite doit être donnée ou non à votre plainte.

2.2. Ouverture de la procédure d’infraction: contacts formels entre la Commission européenne et l’État membre en cause

Si la Commission européenne considère qu'il peut y avoir une violation du droit de l'Union justifiant l’ouverture d’une procédure d’infraction, elle adresse à l'État membre concerné une lettre dite de «mise en demeure», l'invitant à présenter ses observations dans un délai déterminé.

L'État membre mis en cause doit prendre position au regard des éléments de fait et de droit sur lesquels la Commission européenne fonde sa décision d’ouvrir la procédure d'infraction.

Sur la base de la réponse de l’État mis en cause ou en l'absence d'une réponse, la Commission européenne peut décider de lui envoyer «un avis motivé», où elle expose clairement et à titre définitif les raisons pour lesquelles elle estime qu’il y a violation du droit de l'Union et par lequel elle enjoint à l’État membre de se conformer au droit de l'Union dans un délai prescrit (normalement deux mois).

Le but de ces contacts formels est de déterminer s'il y a vraiment une violation du droit de l'Union et d’essayer, lorsqu’il y a une infraction, d’y remédier à ce stade sans avoir besoin de recourir à la Cour de justice.

Compte tenu de la réponse, la Commission européenne peut aussi décider de ne pas poursuivre la procédure d’infraction, par exemple quand l’État membre s’engage de façon crédible à modifier sa législation ou la pratique de son administration. La plupart des cas peuvent être résolus ainsi.

2.3. Saisine de la Cour de justice

Si l'État membre mis en cause ne s’est pas conformé à l'avis motivé, la Commission européenne peut décider de saisir la Cour de justice.

En moyenne, un délai de deux ans s’écoule avant que la Cour de justice ne se prononce sur l’action en justice.

Les arrêts de la Cour de justice sont différents de ceux des tribunaux nationaux.

À l'issue de la procédure, la Cour de justice prononce en effet un arrêt qui constate (ou non) l'infraction.

La Cour de justice ne peut pas prononcer l'annulation d'une disposition nationale non conforme au droit de l'Union, ni forcer une administration nationale à répondre à la demande d’un particulier, ni condamner l'État membre à payer des dommages-intérêts à un particulier lésé par une violation du droit de l'Union.

Il appartient à l'État membre condamné par la Cour de justice de prendre les mesures nécessaires pour se conformer à l'arrêt, notamment en vue de résoudre le litige qui est à l'origine de la procédure.

Si l'État membre ne s’y conforme pas, la Commission européenne peut à nouveau saisir la Cour de justice et demander à celle-ci d’infliger à l’État membre une astreinte jusqu’à ce que celui-ci ait mis fin à l’infraction et/ou une somme forfaitaire. début de la page

3. Voies de recours nationales

Les instances administratives ou juridictionnelles nationales sont chargées en premier lieu d'assurer le respect du droit de l'Union par les autorités des États membres.

Toute personne estimant qu'une mesure (législative, réglementaire ou administrative) ou pratique administrative est contraire au droit de l'Union est donc invitée, préalablement ou parallèlement au dépôt d'une plainte auprès de la Commission européenne, à s'adresser aux instances administratives ou juridictionnelles nationales (y compris le médiateur national ou régional) et/ou avoir recours aux procédures d'arbitrage et de conciliation disponibles.

La Commission européenne vous conseille d'utiliser également les voies de recours administratives, juridictionnelles ou autres, existant en droit national, étant donné les avantages que cela peut comporter pour vous.

En faisant appel aux voies de recours disponibles sur le plan national, vous devriez en effet pouvoir faire valoir, en général, votre droit de façon plus directe et personnalisée qu'à la suite d'une procédure d'infraction engagée avec succès par la Commission européenne, qui peut parfois prendre un certain temps avant d’aboutir.
En effet, seuls les juges nationaux ont le pouvoir d’adresser des injonctions à l’administration et d’annuler une décision nationale.
Ce sont également les seuls juges nationaux qui peuvent, le cas échéant, condamner l'État membre en cause à réparer les dommages causés aux particuliers du fait de la violation du droit communautaire qui lui est imputable. début de la page

4. Garanties administratives

Les garanties administratives suivantes sont prévues en votre faveur.

a) Après enregistrement au Secrétariat général de la Commission européenne, votre plainte fait l’objet de l’attribution d’un numéro officiel, indiqué dans l'accusé de réception, et qu’il sera utile de mentionner dans toute correspondance.
L’attribution de ce numéro officiel n’implique pas nécessairement qu’une procédure d’infraction soit engagée contre l’État membre en cause.

b) Dans la mesure où les services de la Commission européenne seront amenés à intervenir auprès des autorités de l'État membre contre lequel la plainte est dirigée, ils le feront en respectant votre choix quant à la confidentialité de votre identité. Tant que vous n’avez pas fait connaître votre choix, les services de la Commission européenne présumeront que vous avez opté pour un traitement confidentiel.

c) La Commission européenne s’efforce de prendre une décision sur le fond du dossier (ouverture d'une procédure d'infraction ou classement sans suite du dossier de plainte) dans les douze mois à compter de la date de l'enregistrement de la plainte à son Secrétariat général.

d) En cas de dépassement de ce délai, le service de la Commission responsable du dossier d’infraction vous en informe par écrit, à votre demande [nous attirons votre attention sur le fait que les versions anglaise et suédoise du point 8 de la communication de la Commission concernant les relations avec le plaignant en matière d'infraction au droit communautaire divergent par erreur des autres versions linguistiques qui indiquent que cette information se fait à la demande du plaignant]. Vous êtes informé préalablement, par le service responsable, lorsque ce service envisage de proposer à la Commission européenne de décider le classement sans suite du dossier. En outre, les services de la Commission européenne vous tiendront informé du déroulement de l’éventuelle procédure d'infraction. début de la page

5. Protection du plaignant et des données à caractère personnel

La communication à l'État membre de l'identité du plaignant ainsi que des données transmises par celui-ci est soumise à son accord préalable dans le respect, notamment, du règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil de l'Union européenne et de la Commission européenne. début de la page

6. Recours au médiateur européen

Si un plaignant estime que, à l'occasion du traitement de sa plainte, il y a eu mauvaise administration de la part de la Commission européenne du fait que celle-ci a méconnu l'une des présentes mesures, il peut exercer le droit de recours au médiateur européen dans les conditions prévues aux articles 24 et 228 TFUE.

Pour une description complète des procédures et délais applicables, vous êtes invité à consulter la communication de la Commission au Parlement européen et au médiateur européen concernant les relations avec le plaignant en matière d'infraction au droit communautaire [COM(2002) 141 final]. début de la page

-------------------------------------------------------

Règlement (CE) no 45/2001 du Parlement européen et du Conseil

du 18 décembre 2000

relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la proposition de la Commission(1),

vu l'avis du Comité économique et social(2),

statuant conformément à la procédure visée à l'article 251 du traité(3),

considérant ce qui suit:

(1) L'article 286 du traité dispose que les actes communautaires relatifs à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sont applicables aux institutions et organes communautaires.

(2) Un système à part entière de protection des données à caractère personnel impose non seulement de conférer des droits aux personnes concernées et des obligations à celles qui traitent des données à caractère personnel, mais aussi de prévoir des sanctions appropriées pour les contrevenants ainsi qu'une autorité de contrôle indépendante.

(3) L'article 286, paragraphe 2, du traité prévoit l'institution d'un organe indépendant de contrôle chargé de surveiller l'application desdits actes communautaires aux institutions et organes communautaires.

(4) L'article 286, paragraphe 2, du traité prévoit par ailleurs l'adoption, le cas échéant, de toute autre disposition utile.

(5) Un règlement est nécessaire afin de donner aux personnes des droits juridiquement protégés, de définir les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et de créer une autorité de contrôle indépendante responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

(6) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(4), a été consulté.

(7) Les personnes susceptibles d'être protégées sont celles dont les données à caractère personnel sont traitées par les institutions ou organes communautaires dans quelque contexte que ce soit, par exemple parce que ces personnes sont employées par ces institutions ou organes.

(8) Il y a lieu d'appliquer les principes de la protection à toute information concernant une personne identifiée ou identifiable. Afin de déterminer si une personne est identifiable, il convient de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement utilisés par le responsable du traitement ou par toute autre personne pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de la protection aux données qui auront été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(9) La directive 95/46/CE impose aux États membres d'assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel, afin d'assurer la libre circulation des données à caractère personnel dans la Communauté.

(10) La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications(5), précise et complète la directive 95/46/CE en ce qui concerne le traitement des données à caractère personnel dans le secteur des télécommunications.

(11) Diverses autres dispositions communautaires, notamment en matière d'assistance mutuelle entre les administrations nationales et la Commission, visent également à préciser et compléter la directive 95/46/CE dans les secteurs qu'elles concernent.

(12) Il y a lieu d'assurer dans l'ensemble de la Communauté une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel.

(13) Il s'agit par là de garantir tant le respect effectif des règles de protection des libertés et droits fondamentaux des personnes que la libre circulation des données à caractère personnel entre les États membres et les institutions et organes communautaires ou entre les institutions et organes communautaires, dans l'exercice de leurs compétences respectives.

(14) Il convient, à cette fin, d'adopter des dispositions contraignantes à l'égard des institutions et organes communautaires. Il y a lieu d'appliquer ces dispositions à tout traitement de données à caractère personnel effectué par toutes les institutions et organes communautaires dans la mesure où ce traitement est mis en oeuvre pour l'exercice d'activités qui relèvent en tout ou en partie du champ d'application du droit communautaire.

(15) Lorsque ce traitement est effectué par les institutions et organes communautaires pour l'exercice d'activités situées hors du champ d'application du présent règlement, en particulier celles prévues aux titres V et VI du traité sur l'Union européenne, la protection des libertés et droits fondamentaux des personnes est assurée dans le respect de l'article 6 du traité sur l'Union européenne. L'accès aux documents, y compris les conditions d'accès aux documents contenant des données à caractère personnel, relève des réglementations adoptées sur la base de l'article 255 du traité CE dont le champ d'application s'étend aux titres V et VI du traité sur l'Union européenne.

(16) Ces dispositions ne s'appliquent pas aux organes institués hors du cadre communautaire pas plus que le contrôleur européen de la protection des données n'est compétent pour contrôler le traitement des données à caractère personnel effectué par ces organes.

(17) L'efficacité de la protection des personnes à l'égard du traitement des données à caractère personnel dans l'Union présuppose la cohérence des règles et des procédures applicables en la matière aux activités relevant de différents cadres juridiques. L'élaboration de principes fondamentaux concernant la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale ainsi que de la coopération policière et douanière, et la création d'un secrétariat pour les autorités de contrôle communes, instituées par la convention Europol, la convention sur l'emploi de l'informatique dans le domaine des douanes et la convention de Schengen, représentent à cet égard une première étape.

(18) Il y a lieu que le présent règlement n'affecte pas les droits et obligations des États membres au titre des directives 95/46/CE et 97/66/CE. Il n'a pas pour objet de modifier les procédures et pratiques légalement mises en oeuvre par les États membres en matière de sécurité nationale, de défense de l'ordre ainsi que de prévention, détection, recherche et poursuite des infractions pénales dans le respect des dispositions du protocole sur les privilèges et immunités des Communautés européennes et dans le respect du droit international.

(19) Les institutions et organes communautaires s'adressent aux autorités compétentes dans les États membres lorsqu'ils estiment que des interceptions de communications doivent être réalisées sur leurs réseaux de télécommunications, conformément aux dispositions nationales applicables.

(20) Il convient que les dispositions applicables aux institutions et organes communautaires correspondent à celles prévues pour l'harmonisation des législations nationales ou la mise en oeuvre d'autres politiques communautaires, notamment en matière d'assistance mutuelle. Toutefois, des précisions et des dispositions complémentaires peuvent être nécessaires pour la mise en oeuvre de la protection dans le cas des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

(21) Ceci vaut aussi bien pour les droits des personnes dont les données sont traitées, que pour les obligations des institutions et organes communautaires responsables du traitement et pour les pouvoirs dont doit disposer l'autorité de contrôle indépendante chargée de veiller à l'application correcte du présent règlement.

(22) Il y a lieu que les droits accordés à la personne concernée et l'exercice de ces droits ne portent pas préjudice aux obligations imposées au responsable du traitement.

(23) L'autorité de contrôle indépendante exerce ses missions de contrôle conformément au traité et dans le respect des droits de l'homme et des libertés fondamentales. Elle mène ses enquêtes dans le respect du protocole sur les privilèges et immunités et dans le respect du statut des fonctionnaires des Communautés européennes et du régime applicable aux autres agents de ces Communautés.

(24) Il y aura lieu d'adopter les mesures techniques nécessaires pour permettre l'accès aux registres des traitements tenus par les délégués à la protection des données par l'intermédiaire de l'autorité de contrôle indépendante.

(25) Il convient que les décisions de l'autorité de contrôle indépendante ayant trait aux exceptions, garanties, autorisations et conditions relatives aux traitements de données, telles que définies dans le présent règlement, fassent l'objet d'une publication dans le rapport d'activité. Indépendamment de la publication annuelle du rapport d'activité, l'autorité de contrôle indépendante peut publier des rapports sur des sujets spécifiques.

(26) Certains traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées sont soumis au contrôle préalable de l'autorité de contrôle indépendante. Il y a lieu que l'avis donné dans le cadre de ce contrôle préalable, y compris l'avis qui résulte d'une absence de réponse dans le délai prévu, soit sans préjudice de l'exercice ultérieur, par l'autorité de contrôle indépendante, de ses pouvoirs au regard du traitement en cause.

(27) Le traitement de données à caractère personnel effectué pour l'exécution de missions d'intérêt public par les institutions et les organes communautaires comprend le traitement de données à caractère personnel nécessaires pour la gestion et le fonctionnement de ces institutions et organes.

(28) Dans certains cas, il y a lieu de prévoir que le traitement de données soit autorisé par des dispositions communautaires ou des actes de transposition de dispositions communautaires. Toutefois, à titre transitoire, lorsque de telles dispositions n'existent pas et dans l'attente de leur adoption, le contrôleur européen de la protection des données peut autoriser le traitement de telles données moyennant l'adoption de garanties adéquates. À cet égard, il tient notamment compte des dispositions adoptées par les États membres pour régler des cas similaires.

(29) Ces cas concernent le traitement de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement de données relatives à la santé ou à la vie sexuelle nécessaires afin de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail ou pour un motif d'intérêt public important. Il s'agit également du traitement des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ou encore de l'autorisation de soumettre la personne concernée à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.

(30) Il peut être nécessaire de contrôler les réseaux d'ordinateurs fonctionnant sous la responsabilité des institutions et organes communautaires en vue de prévenir un usage non autorisé. Le contrôleur européen de la protection des données détermine si et sous quelles conditions cela est possible.

(31) La responsabilité résultant de la violation du présent règlement est régie par l'article 288, deuxième alinéa, du traité.

(32) Un ou plusieurs délégués à la protection des données veillent au sein de chaque institution ou organe communautaire à l'application des dispositions du présent règlement et conseillent les responsables de traitement dans l'exercice de leurs obligations.

(33) Conformément à son article 21, le règlement (CE) n° 322/97 du Conseil du 17 février 1997 relatif à la statistique communautaire(6) s'applique sans préjudice de la directive 95/46/CE.

(34) Conformément à son article 8, paragraphe 8, le règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d'informations statistiques par la Banque centrale européenne(7), s'applique sans préjudice de la directive 95/46/CE.

(35) Conformément à son article 1er, paragraphe 2, le règlement (Euratom, CEE) n° 1588/90 du Conseil du 11 juin 1990 relatif à la transmission à l'Office statistique des Communautés européennes d'informations statistiques couvertes par le secret(8) ne déroge pas aux dispositions particulières communautaires ou nationales relatives à la sauvegarde de secrets autres que le secret statistique.

(36) Le présent règlement ne vise pas à limiter la marge de manoeuvre des États membres dans l'élaboration de leur droit national en matière de protection des données adopté en vertu de l'article 32 de la directive 95/46/CE, conformément à l'article 249 du traité,

ONT ARRÊTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet du règlement

1. Les institutions et organes créés par les traités instituant les Communautés européennes ou sur la base de ces traités, ci-après dénommés "institutions et organes communautaires", assurent, conformément au présent règlement, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel et ne restreignent ni n'interdisent la libre circulation des données à caractère personnel entre eux ou vers des destinataires relevant de la législation nationale des États membres adoptée en application de la directive 95/46/CE.

2. L'autorité de contrôle indépendante instituée par le présent règlement, ci-après dénommée "contrôleur européen de la protection des données", contrôle l'application des dispositions du présent règlement à tous les traitements effectués par une institution ou un organe communautaire.

Article 2

Définitions

Aux fins du présent règlement, on entend par:

a) "données à caractère personnel": toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b) "traitement de données à caractère personnel" (ci-après dénommé "traitement"): toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;

c) "fichier de données à caractère personnel" (ci-après dénommé "fichier"): tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

d) "responsable du traitement": l'institution ou organe communautaire, la direction générale, l'unité ou toute autre entité organisationnelle qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par un acte communautaire spécifique, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être fixés par cet acte communautaire;

e) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

f) "tiers": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autres que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;

g) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires;

h) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Article 3

Champ d'application

1. Le présent règlement s'applique au traitement de données à caractère personnel par toutes les institutions et tous les organes communautaires, dans la mesure où ce traitement est mis en oeuvre pour l'exercice d'activités qui relèvent en tout ou en partie du champ d'application du droit communautaire.

2. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

CHAPITRE II

CONDITIONS GÉNÉRALES DE LICÉITÉ DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL

SECTION 1

PRINCIPES RELATIFS À LA QUALITÉ DES DONNÉES

Article 4

Qualité des données

1. Les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que le responsable du traitement prévoie des garanties appropriées, afin de veiller, en particulier, à ce que les données ne soient traitées pour aucune autre finalité et qu'elles ne soient pas utilisées à l'appui de dispositions ou décisions concernant une personne en particulier;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables sont prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. L'institution ou l'organe communautaire prévoit, pour les données à caractère personnel qui doivent être conservées au-delà de la période précitée à des fins historiques, statistiques ou scientifiques, soit qu'elles ne seront conservées que sous une forme qui les rend anonymes, soit, si cela est impossible, qu'elles ne seront stockées qu'à condition que l'identité de la personne concernée soit cryptée. Les données ne doivent en tout cas pas être utilisées à des fins autres qu'historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.

SECTION 2

PRINCIPES RELATIFS À LA LÉGITIMATION DES TRAITEMENTS DE DONNÉES

Article 5

Licéité du traitement

Le traitement de données à caractère personnel ne peut être effectué que si:

a) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public sur la base des traités instituant les Communautés européennes ou d'autres actes législatifs adoptés sur la base de ces traités ou relevant de l'exercice légitime de l'autorité publique dont est investi l'institution ou l'organe communautaire ou le tiers auquel les données sont communiquées, ou

b) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ou

c) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou

d) la personne concernée a indubitablement donné son consentement, ou

e) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Article 6

Changement de finalité

Sans préjudice des articles 4, 5 et 10:

1) Les données à caractère personnel ne peuvent être traitées pour des finalités autres que celles pour lesquelles elles ont été collectées que si le changement de finalité est expressément autorisé par les règles internes de l'institution ou de l'organe communautaire.

2) Les données à caractère personnel collectées exclusivement dans le but d'assurer la sécurité ou le contrôle des systèmes ou des opérations de traitement ne peuvent être utilisées pour aucune autre finalité, à l'exception de la prévention, la recherche, la détection et la poursuite d'infractions pénales graves.

Article 7

Transferts de données à caractère personnel entre institutions ou organes communautaires ou en leur sein

Sans préjudice des articles 4, 5, 6 et 10:

1) Les données à caractère personnel ne peuvent faire l'objet de transferts entre institutions ou organes communautaires ou en leur sein que si elles sont nécessaires à l'exécution légitime de missions relevant de la compétence du destinataire.

2) Lorsque les données sont transférées à la suite d'une demande du destinataire, tant le responsable du traitement que le destinataire assument la responsabilité de la légitimité de ce transfert.

Le responsable du traitement est tenu de vérifier la compétence du destinataire et d'évaluer à titre provisoire la nécessité du transfert de ces données. Si des doutes se font jour quant à la nécessité de ce transfert, le responsable du traitement demande au destinataire un complément d'informations.

Le destinataire veille à ce que la nécessité du transfert des données puisse être ultérieurement vérifiée.

3) Le destinataire traite les données à caractère personnel uniquement aux fins qui ont motivé leur transmission.

Article 8

Transferts de données à caractère personnel à des destinataires autres que les institutions et organes communautaires et relevant de la directive 95/46/CE

Sans préjudice des articles 4, 5, 6 et 10, les données à caractère personnel ne sont transférées à des destinataires relevant de la législation nationale adoptée en application de la directive 95/46/CE que si:

a) le destinataire démontre que les données sont nécessaires à l'exécution d'une mission effectuée dans l'intérêt public ou relevant de l'exercice de l'autorité publique, ou

b) le destinataire démontre la nécessité de leur transfert et s'il n'existe aucune raison de penser que ce transfert pourrait porter atteinte aux intérêts légitimes de la personne concernée.

Article 9

Transfert de données à caractère personnel à des destinataires autres que les institutions et organes communautaires et ne relevant pas de la directive 95/46/CE

1. Le transfert de données à caractère personnel à des destinataires autres que les institutions et organes communautaires, et qui ne sont pas soumis à la législation nationale adoptée en application de la directive 95/46/CE, ne peut avoir lieu que pour autant qu'un niveau de protection adéquat soit assuré dans le pays du destinataire ou au sein de l'organisation internationale destinataire, et que ce transfert vise exclusivement à permettre l'exécution des missions qui relèvent de la compétence du responsable du traitement.

2. Le caractère adéquat du niveau de protection offert par le pays tiers ou par l'organisation internationale en question s'apprécie au regard de toutes les circonstances entourant une opération ou un ensemble d'opérations de transfert de données. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du (ou des) traitement(s) envisagé(s), du pays tiers ou de l'organisation internationale destinataire, de la législation, tant générale que sectorielle, en vigueur dans le pays tiers ou applicable à l'organisation internationale en question ainsi que des règles professionnelles et des mesures de sécurité appliquées dans ce pays ou dans cette organisation internationale.

3. Les institutions et organes communautaires informent la Commission et le contrôleur européen de la protection des données des cas dans lesquels ils estiment que le pays tiers ou l'organisation internationale en question n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. La Commission informe les États membres des cas visés au paragraphe 3.

5. Les institutions et organes communautaires prennent les mesures nécessaires pour se conformer aux décisions prises par la Commission constatant, en application de l'article 25, paragraphes 4 et 6, de la directive 95/46/CE, qu'un pays tiers ou une organisation internationale assure ou n'assure pas un niveau de protection adéquat.

6. Par dérogation aux paragraphes 1 et 2, l'institution ou l'organe communautaire peut transférer des données à caractère personnel si:

a) la personne concernée a indubitablement donné son consentement au transfert envisagé, ou

b) le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée, ou

c) le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers, ou

d) le transfert est nécessaire ou rendu juridiquement obligatoire pour des motifs d'intérêt public importants ou pour la constatation, l'exercice ou la défense d'un droit en justice, ou

e) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou

f) le transfert est effectué à partir d'un registre qui, conformément à la législation communautaire, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions fixées par la législation communautaire pour la consultation sont remplies dans le cas particulier.

7. Sans préjudice du paragraphe 6, le contrôleur européen de la protection des données peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers ou une organisation internationale n'assurant pas un niveau de protection adéquat au sens des paragraphes 1 et 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

8. Les institutions et organes communautaires informent le contrôleur européen de la protection des données des catégories de cas dans lesquels ils ont appliqué les paragraphes 6 et 7.

SECTION 3

CATÉGORIES PARTICULIÈRES DE TRAITEMENTS

Article 10

Traitement portant sur des catégories particulières de données

1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé ou à la vie sexuelle sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf lorsque les règles internes de l'institution ou de l'organe communautaire prévoient que l'interdiction visée au paragraphe 1 ne peut pas être levée par le consentement de la personne concernée, ou

b) le traitement est nécessaire afin de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par les traités instituant les Communautés européennes ou d'autres actes législatifs adoptés sur la base de ces traités ou, si cela s'avère nécessaire, dans la mesure où il est accepté par le contrôleur européen de la protection des données, moyennant des garanties adéquates, ou

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou

d) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice, ou

e) le traitement est effectué, dans le cadre de ses activités légitimes et moyennant les garanties appropriées, par un organisme à but non lucratif constituant une entité intégrée dans une institution ou un organe communautaire, non soumis au droit national applicable en matière de protection des données en vertu de l'article 4 de la directive 95/46/CE et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres de cet organisme ou aux personnes entretenant des contacts réguliers avec lui en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers sans le consentement des personnes concernées.

3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel ou par une autre personne également soumise à une obligation de secret équivalente.

4. Sous réserve de garanties appropriées, et pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2 peuvent être prévues par les traités instituant les Communautés européennes ou d'autres actes législatifs adoptés sur la base de ces traités ou, si cela s'avère nécessaire, sur décision du contrôleur européen de la protection des données.

5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que s'il est autorisé par les traités instituant les Communautés européennes ou d'autres actes législatifs adoptés sur la base de ces traités ou, si cela s'avère nécessaire, par le contrôleur européen de la protection des données, sous réserve des garanties spécifiques et appropriées.

6. Le contrôleur européen de la protection des données détermine les conditions dans lesquelles un numéro personnel ou tout autre identifiant utilisé de manière générale peut faire l'objet d'un traitement par une institution ou un organe communautaire.

SECTION 4

INFORMATION DE LA PERSONNE CONCERNÉE

Article 11

Informations à fournir lorsque les données sont collectées auprès de la personne concernée

1. Le responsable du traitement fournit à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement;

b) les finalités du traitement auquel les données sont destinées;

c) les destinataires ou les catégories de destinataires des données;

d) le caractère obligatoire ou facultatif de la réponse aux questions ainsi que les conséquences éventuelles d'un défaut de réponse;

e) l'existence d'un droit d'accès aux données la concernant et de rectification de ces données;

f) toute information supplémentaire telle que:

i) la base juridique du traitement auquel les données sont destinées;

ii) les délais de conservation des données;

iii) le droit de saisir à tout moment le contrôleur européen de la protection des données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Par dérogation au paragraphe 1, la communication d'informations, ou de certains éléments d'information, à l'exception des informations visées au paragraphe 1, points a), b) et d), peut être reportée aussi longtemps que cela est nécessaire à des fins statistiques. L'information doit être communiquée dès que la raison pour laquelle elle ne l'a pas été cesse d'exister.

Article 12

Informations à fournir lorsque les données n'ont pas été collectées auprès de la personne concernée

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, le responsable du traitement doit, dès l'enregistrement des données ou, si la communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement;

b) les finalités du traitement;

c) les catégories de données concernées;

d) les destinataires ou les catégories de destinataires des données;

e) l'existence d'un droit d'accès aux données la concernant et de rectification de ces données;

f) toute information supplémentaire telle que:

i) la base juridique du traitement auquel les données sont destinées;

ii) les délais de conservation des données;

iii) le droit de saisir, à tout moment, le contrôleur européen de la protection des données;

iv) l'origine des données, sauf si le responsable du traitement ne peut divulguer cette information pour des raisons de secret professionnel,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation communautaire prévoit expressément l'enregistrement ou la communication des données. Dans ce cas, l'institution ou l'organe communautaire prévoit des garanties appropriées après avoir consulté le contrôleur européen de la protection des données.

SECTION 5

DROITS DE LA PERSONNE CONCERNÉE

Article 13

Droit d'accès

La personne concernée a le droit d'obtenir, sans contrainte, à tout moment dans un délai de trois mois à partir de la réception de la demande d'information et gratuitement, du responsable du traitement:

a) la confirmation que des données la concernant sont ou ne sont pas traitées;

b) des informations au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées;

c) la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine de ces données;

d) la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant.

Article 14

Rectification

La personne concernée a le droit d'obtenir du responsable du traitement la rectification sans délai de données à caractère personnel inexactes ou incomplètes.

Article 15

Verrouillage

1. La personne concernée a le droit d'obtenir du responsable du traitement le verrouillage des données:

a) lorsque leur exactitude est contestée par la personne concernée, pendant un délai permettant au responsable du traitement de vérifier l'exactitude, y compris l'exhaustivité, des données, ou

b) lorsqu'elles ne sont plus utiles au responsable du traitement pour qu'il s'acquitte de sa mission, mais qu'elles doivent être conservées à titre probatoire, ou

c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place leur verrouillage.

2. En ce qui concerne les fichiers automatisés, le verrouillage est en principe assuré par des dispositifs techniques. Le fait que les données à caractère personnel sont verrouillées est indiqué dans le système de façon à ce qu'il apparaisse clairement que ces données ne peuvent pas être utilisées.

3. Des données à caractère personnel qui ont été verrouillées en application de cet article ne font l'objet d'un traitement, à l'exception de leur stockage, qu'à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits des tiers.

4. La personne concernée qui a demandé et obtenu le verrouillage de données la concernant est informée par le responsable du traitement de la levée du verrouillage avant que celle-ci n'ait lieu.

Article 16

Effacement

La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données si leur traitement est illicite, en particulier en cas de violation des dispositions des sections 1, 2 et 3 du chapitre II.

Article 17

Notification aux tiers

La personne concernée a le droit d'obtenir du responsable du traitement que soit notifié à un tiers auquel les données ont été communiquées toute rectification, tout effacement ou tout verrouillage de celles-ci conformément aux articles 13 à 16, si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

Article 18

Le droit d'opposition de la personne concernée

La personne concernée a le droit:

a) de s'opposer à tout moment, pour des raisons impérieuses et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf dans les cas relevant de l'article 5, points b), c) et d). En cas d'opposition justifiée, le traitement en question ne peut plus porter sur ces données;

b) d'être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s'opposer, gratuitement, à ladite communication ou utilisation.

Article 19

Décisions individuelles automatisées

La personne concernée a le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, sa fiabilité ou son comportement, sauf si cette décision est expressément autorisée en vertu de la législation nationale ou communautaire ou, si cela s'avère nécessaire, par le contrôleur européen de la protection des données. Dans les deux cas, des mesures garantissant la sauvegarde des intérêts légitimes de la personne concernée doivent être prises, telles que des mesures lui permettant de faire valoir son point de vue.

SECTION 6

EXCEPTIONS ET LIMITATIONS

Article 20

Exceptions et limitations

1. Les institutions et organes communautaires peuvent limiter l'application de l'article 4, paragraphe 1, de l'article 11, de l'article 12, paragraphe 1, des articles 13 à 17 et de l'article 37, paragraphe 1, pour autant qu'une telle limitation constitue une mesure nécessaire pour:

a) assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales;

b) sauvegarder un intérêt économique ou financier important d'un État membre ou des Communautés européennes, y compris dans les domaines monétaire, budgétaire et fiscal;

c) garantir la protection de la personne concernée ou des droits et libertés d'autrui;

d) assurer la sûreté nationale, la sécurité publique et la défense des États membres;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) et b).

2. Les articles 13 à 16 ne s'appliquent pas lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle qui est nécessaire à seule fin d'établir des statistiques, sous réserve qu'il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée et que le responsable du traitement offre des garanties juridiques appropriées, qui excluent notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes déterminées.

3. Si une limitation prévue au paragraphe 1 est imposée, la personne concernée est informée conformément au droit communautaire des principales raisons qui motivent cette limitation et de son droit de saisir le contrôleur européen de la protection des données.

4. Si une limitation prévue au paragraphe 1 est invoquée pour refuser l'accès à la personne concernée, le contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu'il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

5. L'information visée aux paragraphes 3 et 4 peut être reportée aussi longtemps qu'elle prive d'effet la limitation imposée sur la base du paragraphe 1.

SECTION 7

CONFIDENTIALITÉ ET SÉCURITÉ DES TRAITEMENTS

Article 21

Confidentialité des traitements

La personne employée par une institution ou un organe communautaire, ainsi que les institutions ou organes communautaires agissant eux-mêmes comme sous-traitant, qui accèdent à des données à caractère personnel, ne peuvent les traiter que sur instruction du responsable du traitement, sauf si la législation nationale ou communautaire le requiert.

Article 22

Sécurité des traitements

1. Compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, le responsable du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à caractère personnel à protéger.

Ces mesures sont prises notamment afin d'empêcher toute diffusion ou tout accès non autorisés, toute destruction accidentelle ou illicite, toute perte accidentelle ou toute altération, ainsi que toute autre forme de traitement illicite.

2. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, des mesures sont prises lorsqu'elles sont nécessaires au regard des risques encourus, notamment dans le but:

a) d'empêcher toute personne non autorisée d'avoir accès aux systèmes informatiques de traitement des données à caractère personnel;

b) d'empêcher que des supports de stockage puissent être lus, copiés, modifiés ou déplacés sans autorisation;

c) d'empêcher toute introduction non autorisée de données dans la mémoire ainsi que toute divulgation, toute modification ou tout effacement non autorisés de données à caractère personnel mémorisées;

d) d'empêcher des personnes non autorisées d'utiliser des systèmes de traitement de données au moyen d'installations de transmission de données;

e) de garantir que les utilisateurs autorisés d'un système de traitement des données ne puissent accéder qu'aux données à caractère personnel que leur droit d'accès leur permet de consulter;

f) de garder une trace des données à caractère personnel qui ont été communiquées, du moment où elles l'ont été et de leur destinataire;

g) de garantir qu'il sera possible de vérifier a posteriori quelles données à caractère personnel ont été traitées, à quel moment et par quelles personnes;

h) de garantir que des données personnelles qui sont traitées pour le compte de tiers ne peuvent l'être que de la façon prévue par l'institution ou l'organe contractant;

i) de garantir que, lors de la communication de données à caractère personnel et du transport de supports de stockage, les données ne puissent être lues, copiées ou effacées sans autorisation;

j) de concevoir la structure organisationnelle interne d'une institution ou d'un organe de manière à ce qu'elle réponde aux exigences propres à la protection des données.

Article 23

Traitement de données à caractère personnel pour le compte du responsable du traitement

1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation prévues par l'article 22 et veille au respect de ces mesures.

2. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

a) le sous-traitant n'agit que sur instruction du responsable du traitement;

b) les obligations visées aux articles 21 et 22 incombent également au sous-traitant, à moins que, en vertu de l'article 16 ou de l'article 17, paragraphe 3, deuxième tiret, de la directive 95/46/CE, le sous-traitant soit déjà soumis à des obligations de confidentialité et de sécurité énoncées dans la législation nationale de l'un des États membres.

3. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées à l'article 22 sont consignés par écrit ou sous une autre forme équivalente.

SECTION 8

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 24

Désignation et tâches d'un délégué à la protection des données

1. Chaque institution et organe communautaire désigne au moins une personne comme délégué à la protection des données. Les attributions de ce délégué sont les suivantes:

a) veiller à ce que les responsables du traitement et les personnes concernées soient informés de leurs droits et obligations au titre du présent règlement;

b) répondre aux demandes du contrôleur européen de la protection des données et, dans son domaine de compétence, coopérer avec le contrôleur européen de la protection des données à la demande de ce dernier ou de sa propre initiative;

c) assurer, d'une manière indépendante, l'application interne des dispositions du présent règlement;

d) tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 25, paragraphe 2;

e) notifier au contrôleur européen de la protection des données les opérations de traitement susceptibles de présenter des risques particuliers au sens de l'article 27.

Ce délégué veille ainsi à ce que le traitement ne risque pas de porter atteinte aux droits et libertés des personnes concernées.

2. Le délégué à la protection des données est choisi en fonction de ses qualités personnelles et professionnelles et, en particulier, de ses connaissances spécialisées dans le domaine de la protection des données.

3. Le choix du délégué à la protection des données ne doit pas pouvoir donner lieu à un conflit d'intérêts entre sa fonction de délégué et toute autre fonction officielle qu'il pourrait exercer, en particulier dans le cadre de l'application des dispositions du présent règlement.

4. Le délégué à la protection des données est nommé pour une période de deux à cinq ans. Son mandat pourra être renouvelé, la durée totale du mandat ne pouvant toutefois dépasser dix ans. Il ne peut être démis de ses fonctions de délégué à la protection des données par l'institution ou l'organe communautaire qui l'a désigné qu'avec le consentement du contrôleur européen de la protection des données, s'il ne remplit plus les conditions requises pour l'exercice de ses fonctions.

5. Après la nomination du délégué à la protection des données, le nom de ce dernier est communiqué au contrôleur européen de la protection des données par l'institution ou l'organe qui l'a désigné.

6. Le délégué à la protection des données se voit affecter par l'institution ou l'organe communautaire qui l'a désigné le personnel et les ressources nécessaires à l'exécution de ses missions.

7. Le délégué à la protection des données ne peut recevoir aucune instruction dans l'exercice de ses fonctions.

8. Des dispositions complémentaires d'application sont adoptées par chaque institution ou organe communautaire conformément aux dispositions figurant à l'annexe. Ces dispositions complémentaires concernent en particulier les tâches, les fonctions et les compétences du délégué à la protection des données.

Article 25

Notification au délégué à la protection des données

1. Avant d'entreprendre un traitement ou une série de traitements poursuivant une même finalité ou des finalités liées, le responsable du traitement en informe le délégué à la protection des données.

2. Les informations à fournir comprennent:

a) le nom et l'adresse du responsable du traitement et l'indication des services d'une institution ou d'un organe chargés du traitement de données à caractère personnel dans un but spécifique;

b) la ou les finalités du traitement;

c) une description de la catégorie ou des catégories de personnes concernées et des données ou des catégories de données s'y rapportant;

d) la base juridique du traitement auquel les données sont destinées;

e) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées;

f) une indication générale des dates limites pour le verrouillage et l'effacement des différentes catégories de données;

g) les transferts de données envisagés à destination de pays tiers ou d'organisations internationales;

h) une description générale permettant une évaluation préliminaire du caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l'article 22.

3. Le délégué à la protection des données est informé rapidement de tout changement affectant les informations visées au paragraphe 2.

Article 26

Registre

Chaque délégué à la protection des données tient un registre des traitements notifiés en vertu de l'article 25.

Les registres contiennent au minimum les informations visées à l'article 25, paragraphe 2, points a) à g). Toute personne peut consulter les registres directement ou indirectement par l'intermédiaire du contrôleur européen à la protection des données.

SECTION 9

CONTRÔLES PRÉALABLES EFFECTUÉS PAR LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES ET OBLIGATION DE COOPÉRER

Article 27

Contrôles préalables

1. Les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités sont soumis au contrôle préalable du contrôleur européen de la protection des données.

2. Les traitements susceptibles de présenter de tels risques sont les suivants:

a) les traitements de données relatives à la santé et les traitements de données relatives à des suspicions, infractions, condamnations pénales ou mesures de sûreté;

b) les traitements destinés à évaluer des aspects de la personnalité des personnes concernées, tels que leur compétence, leur rendement ou leur comportement;

c) les traitements permettant des interconnexions non prévues en vertu de la législation nationale ou communautaire entre des données traitées pour des finalités différentes;

d) les traitements visant à exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat.

3. Les contrôles préalables sont effectués par le contrôleur européen de la protection des données après réception de la notification du délégué à la protection des données qui, en cas de doute quant à la nécessité d'un contrôle préalable, consulte le contrôleur européen de la protection des données.

4. Le contrôleur européen de la protection des données rend son avis dans les deux mois qui suivent la réception de la notification. Ce délai peut être suspendu jusqu'à ce que le contrôleur européen de la protection des données ait obtenu les informations complémentaires demandées. Lorsque la complexité du dossier le rend nécessaire, ce délai peut également être prolongé pour une nouvelle période de deux mois sur décision du contrôleur européen de la protection des données. Cette décision est notifiée au responsable du traitement avant l'expiration du délai initial de deux mois.

Si, au terme du délai de deux mois, éventuellement prolongé, l'avis n'est pas rendu, il est réputé favorable.

Si, de l'avis du contrôleur européen de la protection des données, le traitement notifié risque d'entraîner une violation d'une disposition quelconque du présent règlement, il formule, le cas échéant, des propositions afin d'éviter une telle violation. Si le responsable du traitement ne modifie pas le traitement en conséquence, le contrôleur européen de la protection des données peut exercer les pouvoirs qui lui sont conférés à l'article 47, paragraphe 1.

5. Le contrôleur européen de la protection des données tient un registre de tous les traitements qui lui sont notifiés en vertu du paragraphe 2. Le registre contient les informations visées à l'article 25 et peut être consulté par toute personne.

Article 28

Consultation

1. Les institutions et organes communautaires informent le contrôleur européen de la protection des données lorsqu'elles élaborent des mesures administratives relatives au traitement de données à caractère personnel impliquant une institution ou un organe communautaire, seuls ou conjointement avec d'autres.

2. Lorsqu'elle adopte une proposition de législation relative à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel, la Commission consulte le contrôleur européen de la protection des données.

Article 29

Obligation d'information

Les institutions et organes communautaires informent le contrôleur européen de la protection des données des mesures adoptées à la suite des décisions ou autorisations de ce dernier visées à l'article 46, point h).

Article 30

Obligation de coopérer

À la demande du contrôleur européen de la protection des données, les responsables du traitement lui apportent une assistance dans l'accomplissement de ses fonctions, notamment en lui communiquant les informations visées à l'article 47, paragraphe 2, point a), et en lui accordant l'accès prévu à l'article 47, paragraphe 2, point b).

Article 31

Obligation de répondre aux allégations

En réponse à l'exercice par le contrôleur européen de la protection des données des compétences qui lui sont attribuées en vertu de l'article 47, paragraphe 1, point b), le responsable du traitement concerné informe celui-ci de son point de vue, dans un délai raisonnable que le contrôleur européen de la protection des données aura fixé. Dans cet avis figure également une description des mesures prises, le cas échéant, en réponse aux observations du contrôleur européen de la protection des données.

CHAPITRE III

VOIES DE RECOURS

Article 32

Recours

1. La Cour de justice des Communautés européennes est compétente pour connaître de tout litige relatif aux dispositions du présent règlement, y compris les demandes de réparation.

2. Sans préjudice d'un recours juridictionnel, toute personne concernée peut présenter une réclamation au contrôleur européen de la protection des données si elle estime que les droits qui lui sont reconnus à l'article 286 du traité ont été violés à la suite du traitement de données à caractère personnel la concernant, effectué par une institution ou un organe communautaire.

L'absence de réponse du contrôleur européen de la protection des données dans un délai de 6 mois équivaut à une décision de rejet de la réclamation.

3. Les décisions du contrôleur européen de la protection des données peuvent faire l'objet d'un recours devant la Cour de justice des Communautés européennes.

4. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir la réparation du préjudice subi conformément à l'article 288 du traité.

Article 33

Réclamations du personnel des Communautés

Toute personne employée par une institution ou un organe communautaire peut présenter une réclamation au contrôleur européen de la protection des données pour une violation alléguée des dispositions du présent règlement régissant le traitement des données à caractère personnel, sans passer par les voies officielles. Nul ne doit subir de préjudice pour avoir présenté au contrôleur européen de la protection des données une réclamation alléguant une violation des dispositions qui régissent le traitement des données à caractère personnel.

CHAPITRE IV

PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL ET DE LA VIE PRIVÉE DANS LE CADRE DES RÉSEAUX INTERNES DE TÉLÉCOMMUNICATIONS

Article 34

Champ d'application

Sans préjudice des autres dispositions du présent règlement, le présent chapitre s'applique aux traitements de données à caractère personnel liés à l'utilisation de réseaux de télécommunications ou des équipements de terminaux fonctionnant sous le contrôle d'une institution ou d'un organe communautaire.

Aux fins du présent chapitre, on entend par "utilisateur" toute personne physique utilisant un réseau de télécommunications ou un équipement de terminal fonctionnant sous le contrôle d'une institution ou d'un organe communautaire.

Article 35

Sécurité

1. Les institutions et organes communautaires prennent les mesures techniques et organisationnelles appropriées afin de garantir la sécurité d'utilisation des réseaux de télécommunications et des équipements de terminaux, le cas échéant en liaison avec les fournisseurs des services de télécommunications accessibles au public ou les fournisseurs des réseaux publics de télécommunications. Ces mesures sont de nature à garantir un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus récentes et du coût lié à la mise en oeuvre desdites mesures.

2. Lorsqu'il existe un risque particulier ne permettant plus de garantir la sécurité du réseau et des équipements de terminaux, l'institution ou l'organe communautaire concerné informe les utilisateurs de l'existence de ce risque ainsi que des mesures susceptibles de l'éliminer et des autres moyens de communication susceptibles d'être utilisés.

Article 36

Confidentialité des communications

Les institutions et organes communautaires garantissent la confidentialité des communications réalisées au moyen de réseaux de télécommunications et des équipements de terminaux dans le respect des principes généraux du droit communautaire.

Article 37

Données relatives au trafic et à la facturation

1. Sans préjudice des paragraphes 2, 3 et 4, les données relatives au trafic qui concernent les utilisateurs et qui sont traitées et mises en mémoire afin d'établir les communications, ou d'autres types de connexions, sur les réseaux de télécommunications sont effacées ou rendues anonymes dès que la communication ou la connexion concernées sont terminées.

2. Si nécessaire, les données relatives au trafic telles qu'indiquées dans une liste agréée par le contrôleur européen de la protection des données peuvent être traitées, aux fins de la gestion du budget des télécommunications et du trafic, y compris la vérification de l'usage autorisé des systèmes de télécommunication. Ces données sont effacées ou rendues anonymes dès que possible, et au plus tard six mois après leur collecte, à moins que leur conservation ultérieure soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit dans le cadre d'une action en justice en instance devant un tribunal.

3. Le traitement des données relatives au trafic et à la facturation ne peut être réalisé que par les personnes responsables de la gestion de la facturation, du trafic ou du budget.

4. Les utilisateurs de réseaux de télécommunications ont le droit de recevoir des factures ou d'autres relevés non détaillés des appels effectués.

Article 38

Annuaires d'utilisateurs

1. Les données à caractère personnel contenues dans des annuaires d'utilisateurs imprimés ou électroniques et l'accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l'annuaire.

2. Les institutions et organes communautaires prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans les annuaires, qu'ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe.

Article 39

Indication de l'identification des lignes appelantes et connectées et limitation de cette possibilité

1. Dans les cas où l'indication de l'identification de la ligne appelante est offerte, l'utilisateur appelant doit pouvoir éliminer, par un moyen simple et gratuit, l'indication de l'identification de la ligne appelante.

2. Dans les cas où l'indication de l'identification de la ligne appelante est offerte, l'utilisateur appelé doit pouvoir empêcher, par un moyen simple et gratuit, l'indication de l'identification de la ligne pour les appels entrants.

3. Dans les cas où l'indication de l'identification de la ligne connectée est offerte, l'utilisateur appelé doit pouvoir, par un moyen simple et gratuit, supprimer l'indication de l'identification de la ligne connectée auprès de la personne qui appelle.

4. Dans les cas où l'indication de l'identification de la ligne appelante ou connectée est offerte, les institutions et organes communautaires informent les utilisateurs de cette situation, ainsi que des possibilités prévues aux paragraphes 1, 2 et 3.

Article 40

Dérogations

Les institutions et organes communautaires veillent à l'existence de procédures transparentes régissant les modalités grâce auxquelles elles peuvent passer outre à la suppression de l'indication de l'identification de la ligne appelante:

a) à titre temporaire, lorsqu'un utilisateur demande l'identification d'appels malveillants ou dérangeants;

b) ligne par ligne pour les organismes répondant à des appels d'urgence, dans le but de répondre à de tels appels.

CHAPITRE V

AUTORITÉ DE CONTRÔLE INDÉPENDANTE: LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES

Article 41

Le contrôleur européen de la protection des données

1. Il est institué une autorité de contrôle indépendante dénommée le contrôleur européen de la protection des données.

2. En ce qui concerne le traitement de données à caractère personnel, le contrôleur européen de la protection des données est chargé de veiller à ce que les libertés et droits fondamentaux des personnes physiques, notamment leur vie privée, soient respectés par les institutions et organes communautaires.

Le contrôleur européen de la protection des données est chargé de surveiller et d'assurer l'application des dispositions du présent règlement et de tout autre acte communautaire concernant la protection des libertés et droits fondamentaux des personnes physiques à l'égard des traitements de données à caractère personnel effectués par une institution ou un organe communautaire ainsi que de conseiller les institutions et organes communautaires et les personnes concernées pour toutes les questions concernant le traitement des données à caractère personnel. À ces fins, il exerce les fonctions prévues à l'article 46 et les compétences qui lui sont conférées à l'article 47.

Article 42

Nomination

1. Le Parlement européen et le Conseil nomment, d'un commun accord, le contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d'une liste établie par la Commission à la suite d'un appel public à candidatures.

Un contrôleur adjoint est nommé selon la même procédure et pour la même durée. Il assiste le contrôleur dans l'ensemble de ses fonctions et le supplée en cas d'absence ou d'empêchement.

2. Le contrôleur européen de la protection des données est choisi parmi les personnes offrant toutes garanties d'indépendance et qui possèdent une expérience et une compétence notoires pour l'accomplissement des fonctions de contrôleur européen de la protection des données, par exemple parce qu'ils appartiennent ou ont appartenu aux autorités de contrôle visées à l'article 28 de la directive 95/46/CE.

3. Le mandat du contrôleur européen de la protection des données est renouvelable.

4. En dehors des renouvellements réguliers et des décès, les fonctions du contrôleur européen de la protection des données prennent fin en cas de démission ou de mise à la retraite d'office conformément au paragraphe 5.

5. Le contrôleur européen de la protection des données peut être déclaré démissionnaire ou déchu du droit à pension ou d'autres avantages en tenant lieu par la Cour de justice, à la requête du Parlement européen, du Conseil ou de la Commission, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.

6. Dans les cas de renouvellement régulier et de démission volontaire, le contrôleur européen de la protection des données reste néanmoins en fonction jusqu'à ce qu'il soit pourvu à son remplacement.

7. Les articles 12 à 15 et 18 du protocole sur les privilèges et immunités des Communautés européennes s'appliquent également au contrôleur européen de la protection des données.

8. Les paragraphes 2 à 7 s'appliquent au contrôleur adjoint.

Article 43

Statut et conditions générales d'exercice des fonctions de contrôleur européen de la protection des données, ressources humaines et financières

1. Le Parlement européen, le Conseil et la Commission fixent, d'un commun accord, le statut et les conditions générales d'exercice des fonctions de contrôleur européen de la protection des données et, en particulier, son traitement, ses indemnités et tout avantage tenant lieu de rémunération.

2. L'autorité budgétaire veille à ce que le contrôleur européen de la protection des données dispose des ressources humaines et financières nécessaires à l'exécution de sa mission.

3. Le budget du contrôleur européen de la protection des données figure sur une ligne spécifique de la section VIII du budget général de l'Union européenne.

4. Le contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le contrôleur européen de la protection des données, qui est leur supérieur hiérarchique et dont ils relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire.

5. Les fonctionnaires et les autres agents du secrétariat du contrôleur européen de la protection des données sont soumis aux règlements et réglementations applicables aux fonctionnaires et autres agents des Communautés européennes.

6. Pour les questions concernant son personnel, le contrôleur européen de la protection des données est assimilé aux institutions au sens de l'article 1er du statut des fonctionnaires des Communautés européennes.

Article 44

Indépendance

1. Le contrôleur européen de la protection des données exerce ses fonctions en toute indépendance.

2. Dans l'accomplissement de sa mission, le contrôleur européen de la protection des données ne sollicite ni n'accepte d'instructions de quiconque.

3. Le contrôleur européen de la protection des données s'abstient de tout acte incompatible avec le caractère de ses fonctions et, pendant la durée de celles-ci, ne peut exercer aucune autre activité professionnelle, rémunérée ou non.

4. Après la cessation de ses fonctions, le contrôleur européen de la protection des données est tenu de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.

Article 45

Secret professionnel

Le contrôleur européen de la protection des données et son personnel sont, pendant la durée de leurs fonctions et après la cessation de celles-ci, tenus au secret professionnel en ce qui concerne toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions.

Article 46

Fonctions

Le contrôleur européen de la protection des données:

a) entend et examine les réclamations et informe la personne concernée des résultats de son examen dans un délai raisonnable;

b) effectue des enquêtes, soit de sa propre initiative, soit sur la base d'une réclamation et informe les personnes concernées du résultat de ses enquêtes dans un délai raisonnable;

c) contrôle et assure l'application du présent règlement et de tout autre acte communautaire relatifs à la protection des personnes physiques à l'égard du traitement de données à caractère personnel par une institution ou un organe communautaire, à l'exclusion de la Cour de justice des Communautés européennes dans l'exercice de ses fonctions juridictionnelles;

d) conseille l'ensemble des institutions et organes communautaires, soit de sa propre initiative, soit en réponse à une consultation pour toutes les questions concernant le traitement de données à caractère personnel, en particulier avant l'élaboration par ces institutions et organes de règles internes relatives à la protection des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel;

e) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications;

f) i) coopère avec les autorités nationales de contrôle mentionnées à l'article 28 de la directive 95/46/CE des pays auxquels cette directive s'applique dans la mesure nécessaire à l'accomplissement de leurs devoirs respectifs, notamment en échangeant toutes informations utiles, en demandant à une telle autorité ou à un tel organe d'exercer ses pouvoirs ou en répondant à une demande d'une telle autorité ou d'un tel organe;

ii) coopère également avec les organes de contrôle de la protection des données institués en vertu du titre VI du traité sur l'Union européenne en vue notamment d'améliorer la cohérence dans l'application des règles et procédures dont ils sont respectivement chargés d'assurer le respect;

g) participe aux activités du groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE;

h) détermine, motive et rend publiques les exceptions, garanties, autorisations et conditions mentionnées à l'article 10, paragraphe 2, point b), paragraphes 4, 5 et 6, à l'article 12, paragraphe 2, à l'article 19, et à l'article 37, paragraphe 2;

i) tient un registre des traitements qui lui ont été notifiés en vertu de l'article 27, paragraphe 2, et enregistrés conformément à l'article 27, paragraphe 5, et fournit les moyens d'accéder aux registres tenus par les délégués à la protection des données en application de l'article 26;

j) effectue un contrôle préalable des traitements qui lui ont été notifiés;

k) établit son règlement intérieur.

Article 47

Compétences

1. Le contrôleur européen de la protection des données peut:

a) conseiller les personnes concernées dans l'exercice de leurs droits;

b) saisir le responsable du traitement en cas de violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, formuler des propositions tendant à remédier à cette violation et à améliorer la protection des personnes concernées;

c) ordonner que les demandes d'exercice de certains droits à l'égard des données soient satisfaites lorsque de telles demandes ont été rejetées en violation des articles 13 à 19;

d) adresser un avertissement ou une admonestation au responsable du traitement;

e) ordonner la rectification, le verrouillage, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions régissant le traitement de données à caractère personnel et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

f) interdire temporairement ou définitivement un traitement;

g) saisir l'institution ou l'organe concerné et, si nécessaire, le Parlement européen, le Conseil et la Commission;

h) saisir la Cour de justice des Communautés européennes dans les conditions prévues par le traité;

i) intervenir dans les affaires portées devant la Cour de justice des Communautés européennes.

2. Le contrôleur européen de la protection des données est habilité à:

a) obtenir d'un responsable du traitement ou d'une institution ou d'un organe communautaire l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à ses enquêtes;

b) obtenir l'accès à tous les locaux dans lesquels un responsable du traitement ou une institution ou un organe communautaire exerce ses activités s'il existe un motif raisonnable de supposer que s'y exerce une activité visée par le présent règlement.

Article 48

Rapport d'activité

1. Le contrôleur européen de la protection des données présente au Parlement européen, au Conseil et à la Commission un rapport annuel sur ses activités, qu'il publie parallèlement.

2. Le contrôleur européen transmet le rapport d'activité aux autres institutions et organes communautaires qui peuvent présenter des observations en vue d'un éventuel examen du rapport par le Parlement européen, notamment en ce qui concerne la présentation des mesures prises en réponse aux remarques faites par le contrôleur européen de la protection des données en vertu de l'article 31.

CHAPITRE VI

DISPOSITIONS FINALES

Article 49

Sanctions

Tout manquement aux obligations auxquelles un fonctionnaire ou un autre agent des Communautés européennes est tenu en vertu du présent règlement, commis intentionnellement ou par négligence, l'expose à une sanction disciplinaire, conformément aux dispositions du statut des fonctionnaires des Communautés européennes ou aux régimes qui sont applicables aux autres agents.

Article 50

Période transitoire

Les institutions et organes communautaires prennent les mesures nécessaires pour que les opérations de traitement déjà en cours à la date d'entrée en vigueur du présent règlement soient mises en conformité avec celui-ci, dans un délai d'un an à compter de ladite date.

Article 51

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel des Communautés européennes.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 18 décembre 2000.

Par le Parlement européen

La présidente

N. Fontaine

Par le Conseil

Le président

D. Voynet

(1) JO C 376 E du 28.12.1999, p. 24.

(2) JO C 51 du 23.2.2000, p. 48.

(3) Avis du Parlement européen du 14 novembre 2000 et décision du Conseil du 30 novembre 2000.

(4) JO L 281 du 23.11.1995, p. 31.

(5) JO L 24 du 30.1.1998, p. 1.

(6) JO L 52 du 22.2.1997, p. 1.

(7) JO L 318 du 27.11.1998, p. 8.

(8) JO L 151 du 15.6.1990, p. 1. Règlement modifié par le règlement (CE) n° 322/97 (JO L 52 du 22.2.1997, p. 1).

ANNEXE

1. Le délégué à la protection des données peut faire, en vue d'améliorer concrètement la protection des données, des recommandations à l'institution ou à l'organe communautaire qui l'a désigné et conseiller ces derniers ainsi que le responsable du traitement concerné sur des questions touchant à l'application des dispositions relatives à la protection des données. En outre, de sa propre initiative ou à la demande de l'institution ou l'organe communautaire qui l'a désigné, du responsable du traitement, du comité du personnel concerné ou de toute personne physique, il peut examiner des questions et des faits qui sont directement en rapport avec ses attributions et qui ont été portés à sa connaissance et faire rapport à la personne qui a demandé cet examen ou au responsable du traitement.

2. Le délégué à la protection des données peut être consulté directement, sans passer par les voies officielles, sur toute question concernant l'interprétation ou l'application du présent règlement, par l'institution ou l'organe communautaire qui l'a désigné, le responsable du traitement ou le comité du personnel concerné ou encore par toute personne physique.

3. Aucune personne ne doit subir de préjudice pour avoir porté à l'attention du délégué à la protection des données compétent un fait dont elle allègue qu'il constitue une violation des dispositions du présent règlement.

4. Tout responsable du traitement concerné est tenu d'aider le délégué à la protection des données dans l'exécution de ses missions et de lui fournir les informations qu'il sollicite. Dans l'accomplissement de ses missions, le délégué à la protection des données a accès, à tout moment, aux données qui font l'objet des opérations de traitement, à tous les locaux, toutes les installations de traitement de données et tous les supports d'information.

5. Dans la mesure nécessaire, le délégué à la protection des données est déchargé d'autres activités. Le délégué à la protection des données et son personnel, auxquels s'applique l'article 287 du traité, sont tenus de ne pas divulguer les informations ou les documents obtenus dans l'exercice de leurs fonctions.

-------------------------------------------

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPEEN ET AU MEDIATEUR EUROPEEN concernant les RELATIONS AVEC LE PLAIGNANT EN MATIERE D'INFRACTIONS AU DROIT COMMUNAUTAIRE

Dans le cadre de ses rapports annuels sur le contrôle de l'application du droit communautaire, la Commission a, à plusieurs reprises, reconnu le rôle essentiel du plaignant dans la détection des infractions au droit communautaire, dont elle assure le respect notamment au moyen de la procédure en manquement visée à l'article 226 du traité instituant la Communauté européenne et à l'article 141 du traité instituant la Communauté européenne de l'énergie atomique.

La Commission a publié, en 1999, une communication [1] comportant un formulaire-type pour les plaintes déposées auprès d'elle pour non-respect du droit communautaire par un Etat membre dans le cadre de la procédure en manquement visée à l'article 226 du traité CE et à l'article 141 du traité CEEA.

[1] JO C 119 du 30.4.1999, p. 5.

Cette communication énonçait, en outre, les mesures administratives prévues en faveur du plaignant par la Commission et qui figurent au verso du formulaire de plainte.

Cette communication faisait notamment suite à l'enquête d'initiative du médiateur européen et à l'engagement consécutif de la Commission de respecter certaines formes administratives, en particulier quant à l'information du plaignant préalablement à toute décision de classement.

Enfin, en 2001, dans sa réponse aux remarques critiques formulées par le médiateur européen lors du classement de la plainte P.S. Emfietzoglou - Macedonian Metro Joint Venture (réf. 995/98/OV), la Commission s'est engagée à publier de manière consolidée l'ensemble de ses règles internes de procédure applicables aux relations avec le plaignant dans le cadre de la procédure en manquement.

La Commission énonce, à l'annexe de la présente communication, les mesures administratives en faveur du plaignant qu'elle s'engage à respecter lors du traitement de sa plainte et de l'instruction du dossier d'infraction correspondant.

Ces mesures administratives ne modifient toutefois pas la nature bilatérale de la procédure en manquement visée à l'article 226 du traité CE et à l'article 141 du traité CEEA. A cet égard, conformément à une jurisprudence constante de la Cour de justice des Communautés européennes [2], la Commission ne peut que rappeler qu'elle dispose d'un pouvoir discrétionnaire quant au lancement de la procédure d'infraction et à la saisine de la Cour. La Cour a également reconnu à la Commission le pouvoir de décider de manière discrétionnaire du moment de l'introduction du recours [3].

[2] Voir notamment arrêt du 6.12.1989, Commission/Grèce, C-329/88, Rec.1989, p. 4159; arrêt du 27.11.1990, Commission/Grèce, C-200/88, Rec.1990, p. I-4299; arrêt du 21.1.1999, Commission/Belgique, C-207/97, Rec. 1999, p. I-275; arrêt du 25.11.1999, Commission/Irlande, C-212/98, Rec. 1999, p. I-8571.

[3] Arrêt du 1.6.1994, Commission/Allemagne, C-317/92, Rec.1994, p. I-2039; arrêt du 10.5.1995, Commission/Allemagne, C-422/92, Rec.1995 p. I-1097.

Enfin, la Commission applique, dans le domaine des procédures d'infraction, les règles d'accès aux documents instituées par le règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission [4], tel que mis en oeuvre par les dispositions figurant à l'annexe de la décision 2001/937/CE de la Commission du 5 décembre 2001 modifiant son règlement intérieur [5].

[4] JO L 145 du 31.5.2001, p. 43.

[5] JO L 345 du 29.12.2001, p. 94.

ANNEXE

RELATIONS AVEC LE PLAIGNANT EN MATIERE D'INFRACTIONS AU DROIT COMMUNAUTAIRE

1. Définitions et étendue

On entend par «plainte» toute démarche écrite auprès de la Commission qui dénonce des mesures ou pratiques contraires au droit communautaire. L'instruction d'une plainte peut mener la Commission à ouvrir une procédure d'infraction.

On entend par «procédure d'infraction», la phase précontentieuse de la procédure en manquement ouverte par la Commission sur base de l'article 226 du traité instituant la Communauté européenne (traité CE) ou de l'article 141 du traité instituant la Communauté européenne de l'énergie atomique (traité «Euratom»).

Les présentes mesures s'appliquent aux relations entre les plaignants et les services de la Commission dans le cadre de la procédure d'infraction. Elles ne s'appliquent pas aux plaintes qui relèvent d'autres dispositions des traités et notamment aux plaintes concernant les aides d'Etat qui relèvent des articles 87 et 88 du traité CE ainsi que du règlement (CE) n° 659/1999 du Conseil [6].

[6] JO L 83 du 27.3.1999, p. 1.

2. Principes généraux

Toute personne peut mettre en cause un Etat membre en déposant, sans frais, une plainte auprès de la Commission pour dénoncer une mesure (législative, réglementaire ou administrative) ou une pratique imputable à un Etat membre qu'elle estime contraires à une disposition ou à un principe de droit communautaire.

Le plaignant n'a pas à démontrer l'existence d'un intérêt à agir; il n'a pas, non plus, à prouver qu'il est principalement et directement concerné par l'infraction qu'il dénonce.

La Commission apprécie discrétionnairement si une suite doit être donnée ou non à la plainte.

3. L'enregistrement des plaintes

Toutes les correspondances susceptibles de faire l'objet d'une instruction comme plainte sont enregistrées dans le registre central des plaintes tenu par le Secrétariat général de la Commission.

Ne sont pas considérées comme pouvant faire l'objet d'une instruction comme plainte par les services de la Commission, et ne sont donc pas enregistrées dans le registre central des plaintes, les correspondances:

- anonymes ou ne comportant pas l'adresse de l'expéditeur ou comportant une adresse incomplète;

- ne faisant pas référence, explicite ou implicite, à un Etat membre auquel les mesures ou la pratique contraires au droit communautaire sont susceptibles d'être imputées;

- dénonçant les pratiques d'une personne ou d'une entité privée, sauf dans la mesure où la plainte révèle une participation des pouvoirs publics ou dénonce la passivité de ceux-ci à l'égard de ces pratiques. En tout état de cause, les services de la Commission vérifient si cette correspondance ne révèle pas uncomportement contraire aux règles de concurrence (articles 81 et 82 du traité CE);

- n'énonçant aucun grief;

- énonçant des griefs à propos desquels il existe, de la part de la Commission, une position claire, publique et constante, qui est communiquée au plaignant;

- énonçant des griefs ne relevant manifestement pas du champ d'application du droit communautaire.

En cas de doute sur la nature d'une correspondance, le Secrétariat général de la Commission consulte le ou les services concernés dans les quinze jours calendrier de sa réception. A défaut de réponse de ce ou ces derniers dans les quinze jours ouvrables, la correspondance est enregistrée d'office au registre central des plaintes.

4. Accusé de réception

Toute correspondance fait l'objet d'un premier accusé de réception par le Secrétariat général de la Commission dans les quinze jours ouvrables de sa réception.

Les correspondances enregistrées comme plainte font l'objet d'un accusé de réception supplémentaire par le Secrétariat général de la Commission dans un délai d'un mois à dater de l'envoi du premier accusé de réception. Cet accusé de réception mentionne le numéro du dossier de plainte qui est à rappeler dans toute correspondance.

En cas de plaintes nombreuses sur un même grief, ces accusés de réception individuels peuvent être remplacés par une publication au Journal officiel des Communautés européennes et sur le serveur «Europa» des Communautés européennes.

Si les services de la Commission décident de ne pas enregistrer la correspondance comme plainte, ils en avertissent son auteur par simple lettre indiquant la ou les raisons visées au deuxième paragraphe du point 3.

Le cas échéant, la Commission informera le plaignant des éventuelles possibilités alternatives de recours telles que la faculté de s'adresser aux juridictions nationales, au médiateur européen, aux médiateurs nationaux ou de recourir à toute autre procédure de plainte existant au niveau national ou international.

5. Modalités de dépôt des plaintes

Les plaintes doivent être soumises par écrit sous forme de lettre, de télécopie ou de courriel.

Elles sont rédigées dans l'une des langues officielles de la Communauté.

En vue de faciliter et d'accélérer le traitement des plaintes, la Commission met à disposition des plaignants un formulaire-type publié au Journal officiel des Communautés européennes [7] et disponible auprès des services de la Commission sur simple demande ou sur le serveur Internet «Europa» des Communautés européennes à l'adresse suivante: http://europa.eu.int/comm/secretariat_general/sgb/lexcomm/index_fr.htm.

[7] JO C 119 du 30 4 1999, p. 5.

Ce formulaire comprend une annexe où sont exposés les principes généraux de l'action en manquement et rappelant que l'arrêt en constatation de manquement prononcé par la Cour de justice des Communautés européennes n'a pas d'effet sur les droits du plaignant. Le plaignant y est également invité à utiliser les voies de recours nationales à sa disposition.

L'usage de ce formulaire n'est pas obligatoire.

Les courriers de plainte sont soit à adresser au Secrétariat général de la Commission européenne (B-1049 Bruxelles, télécopie: +32.2.295.39.13, adresse courriel: «SG-PLAINTES@cec.eu.int), soit à déposer dans un des bureaux de représentation de la Commission dans les Etats membres.

6. Protection du plaignant et des données à caractère personnel

La communication à l'Etat membre de l'identité du plaignant ainsi que des données transmises par ce dernier est soumise à son accord préalable, dans le respect, notamment, du règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données [8] et du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission [9].

[8] JO L 8 du 12.1.2001, p. 1.

[9] JO L 145 du 31.5.2001, p. 43.

7. Communication avec le plaignant

Les services de la Commission prennent contact avec le plaignant et l'informent par écrit après chaque décision de la Commission (mise en demeure, avis motivé, saisine de la Cour de justice ou classement) de l'évolution du dossier ouvert suite à sa plainte.

En cas de plaintes nombreuses sur un même grief, ces communications individuelles peuvent être remplacées par une publication au Journal officiel des Communautés européennes et sur le serveur «Europa» des Communautés européennes.

Le plaignant peut, à tout moment de la procédure, demander à exposer ou à préciser, sur place et à ses propres frais, les éléments de sa plainte aux services de la Commission.

8. Délai d'instruction des plaintes

En règle générale, les services de la Commission instruisent les plaintes enregistrées en vue d'aboutir à une décision de mise en demeure ou de classement dans un délai maximum d'un an à dater de l'enregistrement de la plainte par le Secrétariat général.

En cas de dépassement de ce délai, le service de la Commission responsable du dossier d'infraction en informe le plaignant par écrit, à sa demande.

9. Issue de l'instruction des plaintes

A l'issue de l'instruction de la plainte, les services de la Commission peuvent soumettre à la décision du collège des commissaires soit une proposition de mise en demeure qui ouvre la procédure d'infraction à l'encontre de l'Etat membre incriminé, soit une proposition de classement sans suite.

La Commission statue sur cette proposition en vertu de son pouvoir discrétionnaire. Ce pouvoir s'exerce non seulement à l'égard de l'opportunité d'engager ou de clôturer la procédure d'infraction, mais également en ce qui concerne le choix des griefs.

Le plaignant est informé par écrit de la décision prise par la Commission sur le dossier d'infraction lié à sa plainte. Il en est de même des décisions ultérieures de la Commission sur ce dossier.

En cas de plaintes nombreuses sur un même grief, ces communications individuelles peuvent être remplacées par une publication au Journal officiel des Communautés européennes et sur le serveur «Europa» des Communautés européennes.

10. Classement sans suite

En dehors des circonstances exceptionnelles où l'urgence serait requise, lorsqu'un service de la Commission envisage de proposer le classement sans suite d'un dossier de plainte, il en avertit préalablement le plaignant par une lettre énonçant les raisons le conduisant à proposer ce classement et invite le plaignant à formuler ses observations éventuelles dans un délai de quatre semaines.

En cas de plaintes nombreuses sur un même grief, ces lettres individuelles peuvent être remplacées par une publication au Journal officiel des Communautés européennes et sur le serveur «Europa» des Communautés européennes.

Si le plaignant ne répond pas ou s'il ne peut être joint pour une cause qui lui est imputable, ou si les observations formulées par le plaignant n'amènent pas le service à reconsidérer sa position, le dossier d'infraction fait l'objet d'une proposition de décision de classement. Dans ce cas, le plaignant est informé de la décision de la Commission.

Si les observations formulées par le plaignant sont de nature à amener le service à reconsidérer sa position, l'instruction de la plainte se poursuit.

11. Procédure de classement simplifié

Les dossiers d'infraction qui n'ont pas encore fait l'objet d'une mise en demeure peuvent faire l'objet d'une mesure de classement sans suite suivant une procédure administrative simplifiée, n'impliquant pas d'examen par le collège des commissaires.

Cette procédure peut être appliquée aux dossiers dans lesquels, à l'issue d'un premier examen par les services de la Commission, il apparaît de manière évidente ou manifesteque la plainte est sans fondement ou sans objet, ou que les preuves étayant le fait dénoncé font défaut ou sont insuffisantes. Elle peut être appliquée également si le plaignant ne manifeste plus d'intérêt à la poursuite de la plainte.

Lorsqu'un service de la Commission envisage de recourir à cette procédure, il en informe le plaignant suivant la procédure visée au point 10.

12. La publicité des décisions en matière d'infractions

Les décisions de la Commission en matière d'infractions sont publiées dans les huit jours de leur adoption sur le site Internet du Secrétariat général de la Commission à l'adresse suivante: http://europa.eu.int/comm/secretariat_general/sgb/droit_com/index_fr.htm

infractions.

Les décisions d'adresser un avis motivé à l'Etat membre ou de saisir de la Cour de justice font, en outre, l'objet d'un communiqué de presse, sauf décision contraire de la Commission

13. Accès aux documents en matière d'infractions

L'accès aux documents en matière d'infractions est régi par le règlement (CE) n° 1049/2001, tel que mis en oeuvre par les dispositions figurant à l'annexe de la décision 2001/937/CE, CECA, Euratom de la Commission [10].

[10] JO L 345 du 29.12.2001, p. 94.

14. Recours au médiateur européen

Si un plaignant estime qu'à l'occasion du traitement de sa plainte, il y a eu mauvaise administration de la part de la Commission du fait que celle-ci a méconnu l'une des présentes mesures, il peut exercer le droit de recours au médiateur européen dans les conditions prévues aux articles 21 et 195 du traité CE.



16/11/2011
0 Poster un commentaire

A découvrir aussi