Le Conseil est parvenu à une orientation générale partielle sur des aspects spécifiques du projet de règlement établissant un cadre général de l'UE pour la protection des données. L'orientation générale partielle comprend le chapitre IV du projet de règlement (responsable du traitement et sous-traitant), étant entendu que:
- rien n'est décidé tant qu'il n'y a pas d'accord sur tout, et que des modifications ultérieures peuvent être apportées au texte du chapitre IV en vue d'assurer la cohérence globale du règlement;
- l'orientation est sans préjudice des questions horizontales;
- l'orientation ne constitue pas un mandat donné à la présidence pour s'engager dans des trilogues informels avec le Parlement européen sur le texte.
Le chapitre IV a fait l'objet de discussions approfondies pendant le premier semestre de 2013. Si, lors de la session du Conseil des 6 et 7 juin 2013, toutes les délégations ont félicité la présidence irlandaise pour les progrès considérables réalisés à l'égard de ce chapitre, plusieurs questions restaient en suspens, en particulier la nécessité de réduire davantage la charge administrative/les coûts de mise en conformité découlant du règlement en affinant l'approche fondée sur les risques.
Selon l’orientation, la probabilité et la gravité du risque devrait être déterminée en fonction de la nature, de la portée, du contexte et des finalités du traitement de données. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque élevé.
On entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes physiques, en particulier :
- lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, [à une violation du pseudonymat] ou à tout autre dommage économique ou social important;
- lorsque les personnes concernées sont susceptibles d'être privées de la maîtrise de l'utilisation qui est faite de leurs données à caractère personnel;
- lorsque le traitement concerne des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'appartenance syndicale, ainsi que des données génétiques ou concernant la santé ou la vie sexuelle ou des données relatives à des condamnations ou à des infractions pénales;
- lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse et de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles ou les intérêts, la fiabilité ou le comportement, ou la localisation et les déplacements, en vue de créer ou d'utiliser des profils individuels;
- lorsque le traitement porte sur des données à caractère personnel relatives à des personnes vulnérables, en particulier des enfants;
- lorsque le traitement porte sur un volume important de données à caractère personnel et sur un nombre important de personnes concernées.
L’orientation prévoit, entre autres, que lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, le responsable du traitement devrait désigner un représentant, à moins que le traitement qu'il effectue soit occasionnel et peu susceptible de constituer un risque pour les droits et libertés des personnes concernées, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ou que le responsable du traitement ne soit une autorité ou un organisme public.
Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement le chargeant d'agir en son nom pour remplir les obligations qui lui incombent en vertu du règlement. Le responsable du traitement ou le sous-traitant devrait tenir des registres pour toutes les catégories d'activités de traitement relevant de sa responsabilité.
Dans le cadre de l'évaluation des risques pour la sécurité des données, un considérant souligne la nécessité d'apprécier les risques que présente le traitement de données, tels que la destruction, la perte, l'altération, accidentelles ou illicites, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière, qui sont susceptibles d'entraîner des dommages physiques, matériels ou moraux.
Afin de mieux garantir le respect du règlement dans les cas où les traitements sont susceptibles de comporter un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement [ou le sous-traitant] devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque.