RÈGLEMENT (UE) 2018/1725 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 23 octobre 2018
relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE
(Texte présentant de l’intérêt pour l’EEE)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen (1),
statuant conformément à la procédure législative ordinaire (2),
considérant ce qui suit:
| (1) | La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. |
| (2) | Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (3) donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union. |
| (3) | Le règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et la directive (UE) 2016/680 du Parlement européen et du Conseil (5) ont été adoptés le 27 avril 2016. Alors que le règlement définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union, la directive définit les règles spécifiques visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière. |
| (4) | Le règlement (UE) 2016/679 apporte les adaptations nécessaires au règlement (CE) no 45/2001 en vue de garantir un cadre de protection des données solide et cohérent dans l’Union et permettre que celui-ci s’applique en parallèle avec le règlement (UE) 2016/679. |
| (5) | Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement suivent les mêmes principes que les dispositions du règlement (UE) 2016/679, ces deux ensembles de dispositions devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour»), être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme étant équivalent au régime du règlement (UE) 2016/679. |
| (6) | Les personnes dont les données à caractère personnel sont traitées par les institutions et organes de l’Union dans quelque contexte que ce soit, par exemple parce qu’elles sont employées par ces institutions et organes, devraient être protégées. Le présent règlement ne devrait pas s’appliquer au traitement des données à caractère personnel des personnes décédées. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concerne les personnes morales, et en particulier les entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale. |
| (7) | Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. |
| (8) | Le présent règlement devrait s’appliquer au traitement des données à caractère personnel par l’ensemble des institutions, organes et organismes de l’Union. Il devrait s’appliquer au traitement des données à caractère personnel automatisé en tout ou en partie et au traitement non automatisé des données à caractère personnel contenues ou appelées à figurer dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du présent règlement. |
| (9) | Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du traité sur le fonctionnement de l’Union européenne pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Un chapitre distinct du présent règlement, contenant des règles générales, devrait donc s’appliquer au traitement des données opérationnelles à caractère personnel, telles que les données à caractère personnel traitées à des fins d’enquête pénale par les organes ou organismes de l’Union lorsqu’ils exercent des activités dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière. |
| (10) | La directive (UE) 2016/680 fixe des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Afin d’assurer le même niveau de protection pour les personnes physiques à l’aide de droits opposables dans l’ensemble de l’Union et d’éviter que des divergences n’entravent les échanges de données à caractère personnel entre les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne et les autorités compétentes, les règles pour la protection et la libre circulation des données opérationnelles à caractère personnel traitées par lesdits organes ou organismes de l’Union devraient être conformes à la directive (UE) 2016/680. |
| (11) | Les règles générales du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel devraient s’appliquer sans préjudice des règles spécifiques applicables au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne. Ces règles spécifiques devraient être considérées comme une lex specialis par rapport aux dispositions du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel (lex specialis derogat legi generali). Afin de réduire la fragmentation juridique, les règles spécifiques en matière de protection des données applicables au traitement des données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne devraient être conformes aux principes qui sous-tendent le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel, ainsi qu’aux dispositions du présent règlement relatives à un contrôle indépendant, aux voies de recours, à la responsabilité et aux sanctions. |
| (12) | Le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel devrait s’appliquer aux organes et organismes de l’Union lorsqu’ils exercent, que ce soit à titre principal ou accessoire, des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. Cependant, il ne devrait s’appliquer à Europol ou au Parquet européen qu’une fois que les actes juridiques instituant Europol et le Parquet européen auront été modifiés de manière que le chapitre du présent règlement |
...
