OBJECTIF: améliorer la protection des personnes à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union.
ACTE LÉGISLATIF: Règlement (UE) 2018/1725 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.
CONTENU: le règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de l’Union et des règles relatives à la libre circulation des données à caractère personnel entre ces institutions et organes ou vers d’autres destinataires établis dans l’Union. Il vise à :
- protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel dans toute l'Union;
- permettre au contrôleur européen de la protection des données («CEPD») de surveiller l'application des dispositions du règlement à toutes les opérations de traitement effectuées par une institution ou un organe de l'Union.
Principes généraux
En vertu du règlement, les données à caractère personnel doivent être:
- traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence). En ce qui concerne les enfants âgés de moins de 13 ans, le traitement ne sera licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
- exactes et, si nécessaire, tenues à jour;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel.
Le règlement interdit le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Transfert de données à caractère personnel entre institutions et organes de l’Union
Un tel transfert ne sera possible que si le destinataire démontre qu’il est nécessaire que ces données soient transmises dans un but spécifique d’intérêt public. Le responsable du traitement devra déterminer s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée. En pareils cas, il devra mettre en balance, d’une manière vérifiable, les divers intérêts concurrents en vue d’évaluer la proportionnalité de la transmission de données.
Droits de la personne concernée
Les personnes physiques devront être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne le traitement.
Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers pourront limiter l’exercice des droits de la personne concernée.
Les règles internes devront être des actes de portée générale clairs et précis, être adoptées au niveau le plus élevé de la hiérarchie des institutions et organes de l’Union et être publiées au Journal officiel de l’Union européenne. Ces règles devront être prévisibles pour les personnes qui y sont soumises et pourraient prendre la forme de décisions, en particulier lorsqu’elles sont adoptées par les institutions de l’Union.
En particulier, les actes juridiques ou règles internes devront contenir des dispositions spécifiques, le cas échéant, en ce qui concerne: i) les finalités du traitement ou des catégories de traitement; ii) les catégories de données; iii) l’étendue des limitations introduites; iv) les garanties destinées à prévenir les abus ou l’accès ou le transfert illicites; v) la détermination du responsable du traitement ou des catégories de responsables du traitement; vi) la durée de conservation et les garanties applicables; vii) les risques pour les droits et libertés des personnes concernées.
Obligations du responsable du traitement
Le règlement précise les obligations d'information du responsable envers la personne concernée lorsque des données à caractère personnel sont collectées auprès de cette personne, en fournissant des informations à la personne concernée, y compris sur la période de stockage des données, le droit de déposer une plainte et les transferts internationaux de données.
Les données à caractère personnel devront rester confidentielles et seront sujettes au respect d’une obligation de secret professionnel conformément au droit de l'Union. Cela pourra s'appliquer, par exemple, dans les procédures en matière de sécurité sociale ou de santé.
Obligations des institutions de l'UE
Le règlement prévoit l'obligation pour les institutions et organes de l'Union d'informer le CEPD de l'élaboration des mesures administratives et de règles internes relatives au traitement des données à caractère personnel. Il prévoit également l'obligation pour la Commission de consulter le CEPD après l'adoption de propositions d'acte législatif et de recommandations ou de propositions au Conseil et lors de la préparation d'actes délégués ou d'actes d'exécution ayant un impact sur la protection des droits et libertés relatives au traitement des données à caractère personnel.
ENTRÉE EN VIGUEUR : 11.12.2018. Le règlement s’appliquera au traitement de données à caractère personnel par Eurojust à partir du 12.12.2019.