Le Parlement européen a adopté par 527 voix pour, 51 contre et 27 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE.
La position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire a modifié la proposition de la Commission comme suit:
Champ d’application: le règlement s’appliquerait au traitement des données à caractère personnel par l’ensemble des institutions, organes et organismes de l’Union. Il s’appliquerait au traitement des données automatisé en tout ou en partie et au traitement non automatisé des données contenues ou appelées à figurer dans un fichier.
Les règles générales en qui concerne le traitement des données opérationnelles à caractère personnel s’appliqueraient aux organes et organismes de l’Union menant des activités relevant des chapitres 4 (coopération judiciaire en matière pénale) et 5 (coopération policière) du titre V de la troisième partie du traité FUE à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. Cependant, elles ne devraient s’appliquer à Europol ou au Parquet européen qu’une fois que les actes juridiques instituant Europol et le Parquet européen auront été modifiés.
Le règlement ne s’appliquerait pas au traitement des données à caractère personnel par des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité sur l’Union européenne, qui mettent en œuvre la politique de sécurité et de défense commune.
Transfert de données à caractère personnel entre institutions et organes de l’Union: un tel transfert ne serait possible que si le destinataire démontre qu’il est nécessaire que ces données soient transmises dans un but spécifique d’intérêt public. Le responsable du traitement devrait déterminer s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée. En pareils cas, il devrait mettre en balance, d’une manière vérifiable, les divers intérêts concurrents en vue d’évaluer la proportionnalité de la transmission de données.
Les institutions et organes de l’Union devraient concilier le droit à la protection des données à caractère personnel avec le droit d’accès aux documents conformément au droit de l'Union.
Limitations: le règlement prévoit que des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’exercice des droits de la personne concernée.
Les règles internes devraient être des actes de portée générale clairs et précis, être adoptées au niveau le plus élevé de la hiérarchie des institutions et organes de l’Union et être publiées au Journal officiel de l’Union européenne. Ces règles devraient être prévisibles pour les personnes qui y sont soumises et pourraient prendre la forme de décisions, en particulier lorsqu’elles sont adoptées par les institutions de l’Union.
En particulier, les actes juridiques ou règles internes devraient contenir des dispositions spécifiques, le cas échéant, en ce qui concerne:
- les finalités du traitement ou des catégories de traitement;
- les catégories de données à caractère personnel;
- l’étendue des limitations introduites;
- les garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;
- la détermination du responsable du traitement ou des catégories de responsables du traitement;
- la durée de conservation et les garanties applicables ;
- les risques pour les droits et libertés des personnes concernées.
Catégories particulières de données à caractère personnel: le règlement interdirait le traitement portant sur des catégories particulières de données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Les données ne devraient être traitées à des fins liées à la santé que lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale. Le règlement prévoit dès lors des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé.
Contrôleur européen de la protection des données (CEPD): le règlement amendé stipule que le Parlement européen et le Conseil nommeront, d’un commun accord, le CEPD pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, pourrait décider d’organiser une audition de manière à être en mesure d’émettre une préférence.
Le CEPD aurait, entre autres, pour mission : i) de contrôler l’application du règlement par une institution ou un organe de l’Union, à l’exclusion du traitement de données à caractère personnel par la Cour dans l’exercice de ses fonctions juridictionnelles; ii) de conseiller, de sa propre initiative ou sur demande, l’ensemble des institutions et organes de l’Union sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel.
Recours juridictionnel effectif: la Cour serait compétente pour connaître de tout litige relatif aux dispositions du règlement, y compris les demandes d’indemnisation. Les décisions du CEPD pourraient faire l’objet d’un recours devant la Cour. De plus, toute personne ayant subi un dommage matériel ou moral du fait d’une violation règlement aurait le droit d’obtenir de l’institution ou l’organe de l’Union la réparation du dommage subi.
Prévention et détection des infractions pénales (activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5 du TFUE): la directive (UE) 2016/680 fixe des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
Afin d’assurer le même niveau de protection pour les personnes physiques à l’aide de droits opposables dans l’ensemble de l’Union, les règles pour la protection et la libre circulation des données opérationnelles à caractère personnel traitées par les organes ou organismes de l’Union dans ce domaine devraient être conformes à la directive (UE) 2016/680.