Règlement (CE) 45/2001 du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces donnéesAbrogé

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la proposition de la Commission(1),

vu l'avis du Comité économique et social(2),

statuant conformément à la procédure visée à l'article 251 du traité(3),

considérant ce qui suit:

(1) L'article 286 du traité dispose que les actes communautaires relatifs à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sont applicables aux institutions et organes communautaires.

(2) Un système à part entière de protection des données à caractère personnel impose non seulement de conférer des droits aux personnes concernées et des obligations à celles qui traitent des données à caractère personnel, mais aussi de prévoir des sanctions appropriées pour les contrevenants ainsi qu'une autorité de contrôle indépendante.

(3) L'article 286, paragraphe 2, du traité prévoit l'institution d'un organe indépendant de contrôle chargé de surveiller l'application desdits actes communautaires aux institutions et organes communautaires.

(4) L'article 286, paragraphe 2, du traité prévoit par ailleurs l'adoption, le cas échéant, de toute autre disposition utile.

(5) Un règlement est nécessaire afin de donner aux personnes des droits juridiquement protégés, de définir les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et de créer une autorité de contrôle indépendante responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

(6) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(4), a été consulté.

(7) Les personnes susceptibles d'être protégées sont celles dont les données à caractère personnel sont traitées par les institutions ou organes communautaires dans quelque contexte que ce soit, par exemple parce que ces personnes sont employées par ces institutions ou organes.

(8) Il y a lieu d'appliquer les principes de la protection à toute information concernant une personne identifiée ou identifiable. Afin de déterminer si une personne est identifiable, il convient de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement utilisés par le responsable du traitement ou par toute autre personne pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de la protection aux données qui auront été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(9) La directive 95/46/CE impose aux États membres d'assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel, afin d'assurer la libre circulation des données à caractère personnel dans la Communauté.

(10) La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications(5), précise et complète la directive 95/46/CE en ce qui concerne le traitement des données à caractère personnel dans le secteur des télécommunications.

(11) Diverses autres dispositions communautaires, notamment en matière d'assistance mutuelle entre les administrations nationales et la Commission, visent également à préciser et compléter la directive 95/46/CE dans les secteurs qu'elles concernent.

(12) Il y a lieu d'assurer dans l'ensemble de la Communauté une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel.

(13) Il s'agit par là de garantir tant le respect effectif des règles de protection des libertés et droits fondamentaux des personnes que la libre circulation des données à caractère personnel entre les États membres et les institutions et organes communautaires ou entre les institutions et organes communautaires, dans l'exercice de leurs compétences respectives.

(14) Il convient, à cette fin, d'adopter des dispositions contraignantes à l'égard des institutions et organes communautaires. Il y a lieu d'appliquer ces dispositions à tout traitement de données à caractère personnel effectué par toutes les institutions et organes communautaires dans la mesure où ce traitement est mis en oeuvre pour l'exercice d'activités qui relèvent en tout ou en partie du champ d'application du droit communautaire.

(15) Lorsque ce traitement est effectué par les institutions et organes communautaires pour l'exercice d'activités situées hors du champ d'application du présent règlement, en particulier celles prévues aux titres V et VI du traité sur l'Union européenne, la protection des libertés et droits fondamentaux des personnes est assurée dans le respect de l'article 6 du traité sur l'Union européenne. L'accès aux documents, y compris les conditions d'accès aux documents contenant des données à caractère personnel, relève des réglementations adoptées sur la base de l'article 255 du traité CE dont le champ d'application s'étend aux titres V et VI du traité sur l'Union européenne.

(16) Ces dispositions ne s'appliquent pas aux organes institués hors du cadre communautaire pas plus que le contrôleur européen de la protection des données n'est compétent pour contrôler le traitement des données à caractère personnel effectué par ces organes.

(17) L'efficacité de la protection des personnes à l'égard du traitement des données à caractère personnel dans l'Union présuppose la cohérence des règles et des procédures applicables en la matière aux activités relevant de différents cadres juridiques. L'élaboration de principes fondamentaux concernant la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale ainsi que de la coopération policière et douanière, et la création d'un secrétariat pour les autorités de contrôle communes, instituées par la convention Europol, la convention sur l'emploi de l'informatique dans le domaine des douanes et la convention de Schengen, représentent à cet égard une première étape.

(18) Il y a lieu que le présent règlement n'affecte pas les droits et obligations des États membres au titre des directives 95/46/CE et 97/66/CE. Il n'a pas pour objet de modifier les procédures et pratiques légalement mises en oeuvre par les États membres en matière de sécurité nationale, de défense de l'ordre ainsi que de prévention, détection, recherche et poursuite des infractions pénales dans le respect des dispositions du protocole sur les privilèges et immunités des Communautés européennes et dans le respect du droit international.

(19) Les institutions et organes communautaires s'adressent aux autorités compétentes dans les États membres lorsqu'ils estiment que des interceptions de communications doivent être réalisées sur leurs réseaux de télécommunications, conformément aux dispositions nationales applicables.

(20) Il convient que les dispositions applicables aux institutions et organes communautaires correspondent à celles prévues pour l'harmonisation des législations nationales ou la mise en oeuvre d'autres politiques communautaires, notamment en matière d'assistance mutuelle. Toutefois, des précisions et des dispositions complémentaires peuvent être nécessaires pour la mise en oeuvre de la protection dans le cas des traitements de données à caractère personnel effectués par les institutions et organes communautaires.

(21) Ceci vaut aussi bien pour les droits des personnes dont les données sont traitées, que pour les obligations des institutions et organes communautaires responsables du traitement et pour les pouvoirs dont doit disposer l'autorité de contrôle indépendante chargée de veiller à l'application correcte du présent règlement.

(22) Il y a lieu que les droits accordés à la personne concernée et l'exercice de ces droits ne portent pas préjudice aux obligations imposées au responsable du traitement.

(23) L'autorité de contrôle indépendante exerce ses missions de contrôle conformément au traité et dans le respect des droits de l'homme et des libertés fondamentales. Elle mène ses enquêtes dans le respect du protocole sur les privilèges et immunités et dans le respect du statut des fonctionnaires des Communautés européennes et du régime applicable aux autres agents de ces Communautés.

(24) Il y aura lieu d'adopter les mesures techniques nécessaires pour permettre l'accès aux registres des traitements tenus par les délégués à la protection des données par l'intermédiaire de l'autorité de contrôle indépendante.

(25) Il convient que les décisions de l'autorité de contrôle indépendante ayant trait aux exceptions, garanties, autorisations et conditions relatives aux traitements de données, telles que définies dans le présent règlement, fassent l'objet d'une publication dans le rapport d'activité. Indépendamment de la publication annuelle du rapport d'activité, l'autorité de contrôle indépendante peut publier des rapports sur des sujets spécifiques.

(26) Certains traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées sont soumis au contrôle préalable de l'autorité de contrôle indépendante. Il y a lieu que l'avis donné dans le cadre de ce contrôle préalable, y compris l'avis qui résulte d'une absence de réponse dans le délai prévu, soit sans préjudice de l'exercice ultérieur, par l'autorité de contrôle indépendante, de ses pouvoirs au regard du traitement en cause.

(27) Le traitement de données à caractère personnel effectué pour l'exécution de missions d'intérêt public par les institutions et les organes communautaires comprend le traitement de données à caractère personnel nécessaires pour la gestion et le fonctionnement de ces institutions et organes.

(28) Dans certains cas, il y a lieu de prévoir que le traitement de données soit autorisé par des dispositions communautaires ou des actes de transposition de dispositions communautaires. Toutefois, à titre transitoire, lorsque de telles dispositions n'existent pas et dans l'attente de leur adoption, le contrôleur européen de la protection des données peut autoriser le traitement de telles données moyennant l'adoption de garanties adéquates. À cet égard, il tient notamment compte des dispositions adoptées par les États membres pour régler des cas similaires.

(29) Ces cas concernent le traitement de données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement de données relatives à la santé ou à la vie sexuelle nécessaires afin de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail ou pour un motif d'intérêt public important. Il s'agit également du traitement des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ou encore de l'autorisation de soumettre la personne concernée à une décision produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité.

(30) Il peut être nécessaire de contrôler les réseaux d'ordinateurs fonctionnant sous la responsabilité des institutions et organes communautaires en vue de prévenir un usage non autorisé. Le contrôleur européen de la protection des données détermine si et sous quelles conditions cela est possible.

(31) La responsabilité résultant de la violation du présent règlement est régie par l'article 288, deuxième alinéa, du traité.

(32) Un ou plusieurs délégués à la protection des données veillent au sein de chaque institution ou organe communautaire à l'application des dispositions du présent règlement et conseillent les responsables de traitement dans l'exercice de leurs obligations.

(33) Conformément à son article 21, le règlement (CE) n° 322/97 du Conseil du 17 février 1997 relatif à la statistique communautaire(6) s'applique sans préjudice de la directive 95/46/CE.

(34) Conformément à son article 8, paragraphe 8, le règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d'informations statistiques par la Banque centrale européenne(7), s'applique sans préjudice de la directive 95/46/CE.

(35) Conformément à son article 1er, paragraphe 2, le règlement (Euratom, CEE) n° 1588/90 du Conseil du 11 juin 1990 relatif à la transmission à l'Office statistique des Communautés européennes d'informations statistiques couvertes par le secret(8) ne déroge pas aux dispositions particulières communautaires ou nationales relatives à la sauvegarde de secrets autres que le secret statistique.

(36) Le présent règlement ne vise pas à limiter la marge de manoeuvre des États membres dans l'élaboration de leur droit national en matière de protection des données adopté en vertu de l'article 32 de la directive 95/46/CE, conformément à l'article 249 du traité,

ONT ARRÊTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES