Les données à caractère personnel collectées au titre du présent règlement ne peuvent être traitées que pour les finalités suivantes, pour autant qu’elles ne puissent pas être atteintes au moyen de données ne permettant pas l’identification des personnes concernées:
a)suivi des possibilités de pêche, y compris l’utilisation des quotas;
b)validation des données;
c)contrôle des activités de pêche exercées par les navires de pêche de l’Union ou des activités de pêche exercées par des navires de pêche dans les eaux de l’Union;
d)suivi du contrôle exercé par les États membres sur les activités de pêche et dans la chaîne d’approvisionnement;
e)inspections, vérifications, audits et enquêtes;
f)préparation et respect des accords internationaux et des mesures de conservation;
g)gestion des risques, évaluations de politiques et analyses d’impact;
h)recherche et avis scientifiques, et production de statistiques;
i)demandes de renseignements concernant les plaintes, les infractions et les procédures judiciaires ou administratives;
j)établissement des droits de pêche des navires individuels, des États membres ou de l’Union, et fourniture d’éléments factuels à cet effet.
3. Les données à caractère personnel collectées au titre du présent règlement ne sont pas conservées plus longtemps que ce qui est nécessaire aux finalités énumérées au paragraphe 2, cette durée n’excédant pas, en tout état de cause, cinq ans à compter de la date à laquelle l’État membre ou la Commission obtient les données pertinentes. 4.Par dérogation au paragraphe 3:
a)les données à caractère personnel collectées au titre du présent règlement ne sont pas conservées plus longtemps que ce qui est nécessaire aux finalités énumérées au paragraphe 2, points e) et i), cette durée n’allant pas, en tout état de cause, au-delà de la fin de la procédure administrative ou judiciaire concernée ou du délai nécessaire à l’application des sanctions prévues par le présent règlement, comme le système de points;
b)les données à caractère personnel contenues dans les informations énumérées à l’article 109, paragraphe 2 bis, point a) i) à v), ne sont pas conservées plus longtemps que ce qui est nécessaire aux finalités énumérées au paragraphe 2, points f) et j), du présent article, cette durée n’excédant pas, en tout état de cause, dix ans à compter de la date à laquelle l’État membre, la Commission ou l’organisme désigné par celle-ci obtient les données pertinentes;
c)les données à caractère personnel contenues dans les informations énumérées à l’article 109, paragraphe 2 bis, point a) i) à iv), ne sont pas conservées plus longtemps que ce qui est nécessaire aux finalités énumérées au paragraphe 2, points g) et h), du présent article, cette durée n’excédant pas, en tout état de cause, 25 ans à compter de la date à laquelle l’État membre, la Commission ou l’organisme désigné par celle-ci obtient les données pertinentes. Si ces informations sont conservées plus longtemps, lorsque cela est nécessaire aux finalités énumérées au paragraphe 2, points g) et h), du présent article, les données à caractère personnel sont anonymisées ou pseudonymisées.
5. Les autorités des États membres sont considérées comme des responsables du traitement au sens de l’article 4, point 7), du règlement (UE) 2016/679 en ce qui concerne le traitement des données à caractère personnel qu’elles collectent en application du présent règlement. 6. La Commission est considérée comme un responsable du traitement au sens de l’article 3, point 8), du règlement (UE) 2018/1725 en ce qui concerne le traitement des données à caractère personnel qu’elle collecte en application du présent règlement. 7. La Commission ou l’organisme qu’elle a désigné et les autorités des États membres assurent la sécurité du traitement des données à caractère personnel qui est effectué aux fins de l’application du présent règlement. La Commission ou l’organisme qu’elle a désigné et les autorités des États membres coopèrent en ce qui concerne les tâches liées à la sécurité. 8.En particulier, la Commission adopte les mesures nécessaires, y compris un plan de sécurité, un plan de continuité des activités et un plan de rétablissement après sinistre, aux fins suivantes:
a)assurer la protection physique des données, notamment en élaborant des plans d’urgence pour la protection des infrastructures critiques;
b)empêcher que des supports de données ne puissent être lus, copiés, modifiés ou enlevés par une personne non autorisée;
c)empêcher la saisie non autorisée de données et l’inspection, la modification ou la suppression non autorisées de données à caractère personnel enregistrées;
d)empêcher le traitement non autorisé des données et toute copie, modification ou suppression non autorisée des données;
e)veiller à ce que les personnes autorisées à avoir accès aux bases de données halieutiques concernées aient uniquement accès aux données couvertes par leur autorisation d’accès, au moyen d’identifiants d’utilisateur individuels et de modes d’accès confidentiels uniquement;
f)veiller à ce qu’il soit possible de vérifier et d’établir à quels organismes les données à caractère personnel peuvent être transmises et quelles données ont été traitées dans les bases de données pertinentes sur les pêcheries, quand, par qui et dans quel but;
g)empêcher la lecture, la copie, la modification ou la suppression non autorisées de données à caractère personnel lors de la transmission de données à caractère personnel vers ou depuis les bases de données halieutiques pertinentes ou pendant le transport de supports de données, notamment au moyen de techniques de cryptage appropriées;
h)contrôler l’efficacité des mesures de sécurité visées au présent paragraphe et prendre les mesures organisationnelles nécessaires en matière de contrôle interne pour assurer le respect du présent règlement.
9. Les autorités des États membres prennent des mesures équivalentes à celles visées au paragraphe 8 en ce qui concerne la sécurité en matière de traitement des données à caractère personnel par les autorités ayant un droit d’accès à l’une des bases de données halieutiques pertinentes.