Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

• Celex Number: 32001R0045
• Coming into Force: 01 February 2001
• End of Effective Date: 31 December 9999
• Published date: 12 January 2001
• Date: 18 December 2000
• ELI: http://data.europa.eu/eli/reg/2001/45/oj
• Official Gazette Publication: Official Journal of the European Communities, L 8, 12 January 2001

|

32001R0045

Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données

Journal officiel n° L 008 du 12/01/2001 p. 0001 - 0022

Règlement (CE) no 45/2001 du Parlement européen et du Conseil

du 18 décembre 2000

relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la proposition de la Commission(1),

vu l'avis du Comité économique et social(2),

statuant conformément à la procédure visée à l'article 251 du traité(3),

considérant ce qui suit:

(1) L'article 286 du traité dispose que les actes communautaires relatifs à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sont applicables aux institutions et organes communautaires.

(2) Un système à part entière de protection des données à caractère personnel impose non seulement de conférer des droits aux personnes concernées et des obligations à celles qui traitent des données à caractère personnel, mais aussi de prévoir des sanctions appropriées pour les contrevenants ainsi qu'une autorité de contrôle indépendante.

(3) L'article 286, paragraphe 2, du traité prévoit l'institution d'un organe indépendant de contrôle chargé de surveiller l'application desdits actes communautaires aux institutions et organes communautaires.

(4) L'article 286, paragraphe 2, du traité prévoit par ailleurs l'adoption, le cas échéant, de toute autre disposition utile.

(5) Un règlement est nécessaire afin de donner aux personnes des droits juridiquement protégés, de définir les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et de créer une autorité de contrôle indépendante responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

(6) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(4), a été consulté.

(7) Les personnes susceptibles d'être protégées sont celles dont les données à caractère personnel sont traitées par les institutions ou organes communautaires dans quelque contexte que ce soit, par exemple parce que ces personnes sont employées par ces institutions ou organes.

(8) Il y a lieu d'appliquer les principes de la protection à toute information concernant une personne identifiée ou identifiable. Afin de déterminer si une personne est identifiable, il convient de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement utilisés par le responsable du traitement ou par toute autre personne pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de la protection aux données qui auront été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(9) La directive 95/46/CE impose aux États membres d'assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel, afin d'assurer la libre circulation des données à caractère personnel dans la Communauté.

(10) La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications(5), précise et complète la directive 95/46/CE en ce qui concerne le traitement des données à caractère personnel dans le secteur des télécommunications.

(11) Diverses autres dispositions communautaires, notamment en matière d'assistance mutuelle entre les administrations nationales et la Commission, visent également à préciser et compléter la directive 95/46/CE dans les secteurs qu'elles concernent.

(12) Il y a lieu d'assurer dans l'ensemble de la Communauté une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel.

(13) Il s'agit par là de garantir tant le respect effectif des règles de protection des libertés et droits fondamentaux des personnes que la libre circulation des données à caractère personnel entre les États membres et les institutions et organes communautaires ou entre les institutions et organes communautaires, dans l'exercice de leurs compétences respectives.

(14) Il convient, à cette fin, d'adopter des dispositions contraignantes à l'égard des institutions et organes communautaires. Il y a lieu d'appliquer ces dispositions à tout traitement de données à caractère personnel effectué par toutes les institutions et organes communautaires dans la mesure où ce traitement est mis en oeuvre pour l'exercice d'activités qui relèvent en tout ou en partie du champ d'application du droit communautaire.

(15) Lorsque ce traitement est effectué par les institutions et organes communautaires pour l'exercice d'activités situées hors du champ d'application du présent règlement, en particulier celles prévues aux titres V et VI du traité sur l'Union européenne, la protection des libertés et droits fondamentaux des personnes est assurée dans le respect de l'article 6 du traité sur l'Union européenne. L'accès aux documents, y compris les conditions d'accès aux documents contenant des données à caractère personnel, relève des réglementations adoptées sur la base de l'article 255 du traité CE dont le champ d'application s'étend aux titres V et VI du traité sur l'Union européenne.

(16) Ces dispositions ne s'appliquent pas aux organes institués hors du cadre communautaire pas plus que le contrôleur européen de la protection des données n'est compétent pour contrôler le traitement des données à caractère personnel effectué par ces organes.

(17) L'efficacité de la protection des personnes à l'égard du traitement des données à caractère personnel dans l'Union présuppose la cohérence des règles et des procédures applicables en la matière aux activités relevant de différents cadres juridiques. L'élaboration de principes fondamentaux concernant la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale ainsi que de la coopération policière et douanière, et la création d'un secrétariat pour les autorités de contrôle communes, instituées par la convention Europol, la convention sur l'emploi de l'informatique dans le domaine des douanes et la convention de Schengen, représentent à cet égard une première étape.

(18) Il y a lieu que le présent règlement n'affecte pas les droits et obligations des États membres au titre des directives 95/46/CE et 97/66/CE. Il n'a pas pour objet de modifier les procédures et pratiques légalement mises en oeuvre par les États membres en matière de sécurité nationale, de défense de l'ordre ainsi que de prévention, détection, recherche et poursuite des infractions pénales dans le respect des dispositions du protocole sur les privilèges et immunités des Communautés européennes et dans le respect du droit international.

(19) Les institutions et organes communautaires s'adressent aux autorités compétentes dans les États membres lorsqu'ils estiment que des interceptions de communications doivent être réalisées sur leurs réseaux de télécommunications, conformément aux dispositions nationales applicables.

(20) Il convient que les dispositions applicables aux institutions et organes communautaires correspondent à celles prévues pour l'harmonisation des législations nationales ou la mise en oeuvre d'autres politiques communautaires, notamment en matière d'assistance mutuelle. Toutefois, des précisions et des dispositions complémentaires peuvent être nécessaires pour la mise en oeuvre de la protection dans le cas des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

(21) Ceci vaut aussi bien pour les droits des personnes dont les données sont traitées, que pour les obligations des institutions et organes communautaires responsables du traitement et pour les pouvoirs dont doit disposer l'autorité de contrôle indépendante chargée de veiller à l'application correcte du présent règlement.

(22) Il y a lieu que les droits accordés à la personne concernée et l'exercice de ces droits ne portent pas préjudice aux obligations imposées au responsable du traitement.

(23) L'autorité de contrôle indépendante exerce ses missions de contrôle conformément au traité et dans le respect des droits de l'homme et des libertés fondamentales. Elle mène ses enquêtes dans le respect du protocole sur les privilèges et immunités et dans le respect du statut des fonctionnaires des Communautés européennes et du régime applicable aux autres agents de ces Communautés.

(24) Il y aura lieu d'adopter les mesures techniques nécessaires pour permettre l'accès aux registres des traitements tenus par les délégués à la protection des données par l'intermédiaire de l'autorité de contrôle indépendante.

(25) Il convient que les décisions de l'autorité de contrôle indépendante ayant trait aux exceptions, garanties, autorisations et conditions relatives aux traitements de données, telles que définies dans le présent règlement, fassent l'objet d'une...