02016L0680 — FR — 04.05.2016 — 000.001

---

Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document

►B

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89)

Rectifiée par:

►C1	Rectificatif, JO L 127 du 23.5.2018, p.  7 (2016/680)

---

▼B

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 27 avril 2016

relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

CHAPITRE I

Dispositions générales

Article premier

Objet et objectifs

1.  La présente directive établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

2.  Conformément à la présente directive, les États membres:

3.  La présente directive n'empêche pas les États membres de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés des personnes concernées à l'égard du traitement des données à caractère personnel par les autorités compétentes.

Article 2

Champ d'application

1.  La présente directive s'applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1.

2.  La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

3.  La présente directive ne s'applique pas au traitement de données à caractère personnel effectué:

Article 3

Définitions

Aux fins de la présente directive, on entend par:

CHAPITRE II

Principes

Article 4

Principes relatifs au traitement des données à caractère personnel

1.  Les États membres prévoient que les données à caractère personnel sont:

2.  Le traitement, par le même ou par un autre responsable du traitement, pour l'une des finalités énoncées à l'article 1er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que:

3.  Le traitement des données par le même ou par un autre responsable du traitement peut comprendre l'archivage dans l'intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées à l'article 1er, paragraphe 1, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.

4.  Le responsable du traitement est responsable du respect des paragraphes 1, 2 et 3 et est en mesure de démontrer que ces dispositions sont respectées.

Article 5

Délais de conservation et d'examen

Les États membres prévoient que des délais appropriés sont fixés pour l'effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Des règles procédurales garantissent le respect de ces délais.

Article 6

Distinction entre différentes catégories de personnes concernées

Les États membres prévoient que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que:

Article 7

Distinction entre les données à caractère personnel et vérification de la qualité des données à caractère personnel

1.  Les États membres prévoient que les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

2.  Les États membres prévoient que les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations nécessaires permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.

3.  S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 16.

Article 8

Licéité du traitement

1.  Les États membres prévoient que le traitement n'est licite que si et dans la mesure où il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente, pour les finalités énoncées à l'article 1er, paragraphe 1, et où il est fondé sur le droit de l'Union ou le droit d'un État membre.

2.  Une disposition du droit d'un État membre qui réglemente le traitement relevant du champ d'application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.

Article 9

Conditions spécifiques applicables au traitement

1.  Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l'article 1er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l'article 1er, paragraphe 1, à moins qu'un tel traitement ne soit autorisé par le droit de l'Union ou le droit d'un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.

2.  Lorsque les autorités compétentes sont chargées par le droit d'un État membre d'exécuter des missions autres que celles exécutées pour les finalités énoncées à l'article 1er, paragraphe 1, le règlement (UE) 2016/679 s'applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.

3.  Les États membres prévoient que, lorsque le droit de l'Union ou le droit d'un État membre applicable à l'autorité compétente qui transmet les données soumet le traitement à des conditions spécifiques, l'autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter.

4.  Les États membres prévoient que l'autorité compétente qui transmet les données n'applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l'Union européenne des conditions en vertu du paragraphe 3 différentes de celles applicables aux transferts de données similaires à l'intérieur de l'État membre dont relève l'autorité compétente qui transmet les données.

Article 10

Traitement portant sur des catégories particulières de données à caractère personnel

Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement:

Article 11

Décision individuelle automatisée

1.  Les États membres prévoient que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est interdite, à moins qu'elle ne soit autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement.

2.  Les décisions visées au paragraphe 1 du présent article ne sont pas fondées sur les catégories particulières de données à caractère personnel visées à l'article 10, à moins que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ne soient en place.

3.  Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 10 est interdit, conformément au droit de l'Union.

CHAPITRE III

Droits de la personne concernée

Article 12

Communication et modalités de l'exercice des droits de la personne concernée

1.  Les États membres prévoient que le responsable du traitement prend des mesures raisonnables pour fournir toute information visée à l'article 13 et procède à toute communication relative au traitement ayant trait à l'article 11, aux articles 14 à 18 et à l'article 31 à la personne concernée d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande.

2.  Les États membres prévoient que le responsable du traitement facilite l'exercice des droits conférés à la personne concernée par l'article 11 et les articles 14 à 18.

3.  Les États membres prévoient que le responsable du traitement informe par écrit, dans les meilleurs délais, la personne concernée des suites données à sa demande.

4.  Les États membres prévoient qu'aucun paiement n'est exigé pour fournir les informations visées à l'article 13 et pour procéder à toute communication et prendre toute mesure au titre de l'article 11, des articles 14 à 18 et de l'article 31. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

5.  Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée à l'article 14 ou 16, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée.

Article 13

Informations à mettre à la disposition de la personne concernée ou à lui fournir

1.  Les États membres prévoient que le responsable du traitement met à la disposition de la personne concernée au moins les informations suivantes:

2.  En plus des informations visées au paragraphe 1, les États membres prévoient, par la loi, que le responsable du traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d'exercer ses droits:

3.  Les États membres peuvent adopter des mesures législatives visant à retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou à ne pas fournir ces informations, dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:

4.  Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements susceptibles de relever, dans leur intégralité ou en partie, d'un quelconque des points énumérés au paragraphe 3.

Article 14

Droit d'accès par la personne concernée

Sous réserve de l'article 15, les États membres prévoient que la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations suivantes:

Article 15

Limitations du droit d'accès

1.  Les États membres peuvent adopter des mesures législatives limitant, entièrement ou partiellement, le droit d'accès de la personne concernée, dès lors et aussi longtemps qu'une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

2.  Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements de données susceptibles de relever, dans leur intégralité ou en partie, des points a) à e) du paragraphe 1.

3.  Dans les cas visés aux paragraphes 1 et 2, les États membres prévoient que le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d'accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 1. Les États membres prévoient que le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès d'une autorité de contrôle ou de former un recours juridictionnel.

4.  Les États membres prévoient que le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition des autorités de contrôle.

Article 16

Droit de rectification ou d'effacement des données à caractère personnel et limitation du traitement

1.  Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, les États membres prévoient que la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant à cet effet une déclaration complémentaire.

2.  Les États membres exigent que le responsable du traitement efface dans les meilleurs délais les données à caractère personnel et accordent à la personne concernée le droit d'obtenir du responsable du traitement l'effacement dans les meilleurs délais de données à caractère personnel la concernant lorsque le traitement constitue une violation des dispositions adoptées en vertu de l'article 4, 8 ou 10 ou lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.

3.  Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement lorsque:

Lorsque le traitement est limité en vertu du premier alinéa, point a), le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.

4.  Les États membres prévoient que le responsable du traitement informe la personne concernée par écrit de tout refus de rectifier ou d'effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Les États membres peuvent adopter des mesures législatives limitant, en tout ou partie, l'obligation de fournir ces informations, dès lors qu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:

Les États membres prévoient que le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès d'une autorité de contrôle ou de former un recours juridictionnel.

5.  Les États membres prévoient que le responsable du traitement communique la rectification des données à caractère personnel inexactes à l'autorité compétente dont proviennent les données à caractère personnel inexactes.

6.  Les États membres prévoient que, lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des paragraphes 1, 2 et 3, le responsable du traitement adresse une notification aux destinataires et que ceux-ci rectifient ou effacent les données à caractère personnel ou limitent le traitement des données à caractère personnel sous leur responsabilité.

Article 17

Exercice des droits de la personne concernée et vérification par l'autorité de contrôle

1.  Dans les cas visés à l'article 13, paragraphe 3, à l'article 15, paragraphe 3, et à l'article 16, paragraphe 4, les États membres adoptent des mesures afin que les droits de la personne concernée puissent également être exercés par l'intermédiaire de l'autorité de contrôle compétente.

2.  Les États membres prévoient que le responsable du traitement informe la personne concernée de la possibilité qu'elle a d'exercer ses droits par l'intermédiaire de l'autorité de contrôle en application du paragraphe 1.

3.  Lorsque le droit visé au paragraphe 1 est exercé, l'autorité de contrôle informe au moins la personne concernée du fait qu'elle a procédé à toutes les vérifications nécessaires ou à un examen. L'autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel.

Article 18

Droits des personnes concernées lors des enquêtes judiciaires et des procédures pénales

Les États membres peuvent prévoir que les droits visés aux articles 13, 14 et 16 sont exercés conformément au droit d'un État membre lorsque les données à caractère personnel figurent dans une décision judiciaire ou un casier ou dossier judiciaire faisant l'objet d'un traitement lors d'une enquête judiciaire et d'une procédure pénale.

CHAPITRE IV

Responsable du traitement et sous-traitant

Section 1

Obligations générales

Article 19

Obligations incombant au responsable du traitement

1.  Les États membres prévoient que le responsable du traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, met en œuvre les mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à la présente directive. Ces mesures sont réexaminées et actualisées, si nécessaire.

2.  Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

Article 20

Protection des données dès la conception et protection des données par défaut

1.  Les États membres prévoient que, compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant lors de la détermination des moyens du traitement que lors du traitement proprement dit, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires, afin de répondre aux exigences de la présente directive et de protéger les droits des personnes concernées.

2.  Les États membres prévoient que le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne concernée.

Article 21

Responsables conjoints du traitement

1.  Les États membres prévoient que, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect de la présente directive, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées à l'article 13, par voie d'accord entre eux, sauf si et dans la mesure où leurs obligations respectives sont définies par le droit de l'Union ou le droit d'un État membre auquel les responsables du traitement sont soumis. Le point de contact pour les personnes concernées est désigné dans l'accord. Les États membres peuvent préciser lequel des responsables conjoints peut servir de point de contact unique pour que les personnes concernées puissent exercer leurs droits.

2.  Indépendamment des termes de l'accord visé au paragraphe 1, les États membres peuvent prévoir que la personne concernée peut exercer les droits que lui confère les dispositions adoptées en vertu de la présente directive à l'égard de et contre chacun des responsables du traitement.

Article 22

Sous-traitant

1.  Les États membres prévoient que le responsable du traitement, lorsqu'un traitement doit être effectué pour son compte, fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences de la présente directive et garantisse la protection des droits de la personne concernée.

2.  Les États membres prévoient que le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

3.  Les États membres prévoient que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement et qui définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

4.  Le contrat ou l'autre acte juridique visé au paragraphe 3 revêt la forme écrite, y compris la forme électronique.

5.  Si, en violation de la présente directive, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Article 23

Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

Les États membres prévoient que le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite que sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.

Article 24

Registre des activités de traitement

1.  Les États membres prévoient que les responsables du traitement tiennent un registre de toutes les catégories d'activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

2.  Les États membres prévoient que chaque sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

3.  Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite, y compris la forme électronique.

Le responsable du traitement et le sous-traitant mettent ces registres à la disposition de l'autorité de contrôle, sur demande.

Article 25

Journalisation

1.  Les États membres prévoient que des journaux sont établis au moins pour les opérations de traitement suivantes dans des systèmes de traitement automatisé: la collecte, la modification, la consultation, la communication, y compris les transferts, l'interconnexion et l'effacement. Les journaux des opérations de consultation et de communication permettent d'établir le motif, la date et l'heure de celles-ci et, dans la mesure du possible, l'identification de la personne qui a consulté ou communiqué les données à caractère personnel, ainsi que l'identité des destinataires de ces données à caractère personnel.

2.  Les journaux sont utilisés uniquement à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données à caractère personnel et à des fins de procédures pénales.

3.  Le responsable du traitement et le sous-traitant mettent les journaux à la disposition de l'autorité de contrôle, sur demande.

Article 26

Coopération avec l'autorité de contrôle

Les États membres prévoient que le responsable du traitement et le sous-traitant coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions.

Article 27

Analyse d'impact relative à la protection des données

1.  Lorsqu'un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, les États membres prévoient que le responsable du traitement effectue préalablement au traitement une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

2.  L'analyse visée au paragraphe 1 contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect de la présente directive, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

Article 28

Consultation préalable de l'autorité de contrôle

1.  Les États membres prévoient que le responsable du traitement ou le sous-traitant consulte l'autorité de contrôle préalablement au traitement des données à caractère personnel qui fera partie d'un nouveau fichier à créer:

2.  Les États membres prévoient que l'autorité de contrôle est consultée dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national ou d'une mesure réglementaire fondée sur une telle mesure législative qui se rapporte au traitement.

3.  Les États membres prévoient que l'autorité de contrôle peut établir une liste des opérations de traitement devant faire l'objet d'une consultation préalable conformément au paragraphe 1.

4.  Les États membres prévoient que le responsable du traitement fournit à l'autorité de contrôle l'analyse d'impact relative à la protection des données en vertu de l'article 27 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

5.  Les États membres prévoient que, lorsque l'autorité de contrôle est d'avis que le traitement prévu, visé au paragraphe 1 du présent article, constituerait une violation des dispositions adoptées en vertu de la présente directive, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle fournit par écrit, dans un délai maximum de six semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement, et le cas échéant au sous-traitant, et elle peut faire usage des pouvoirs visés à l'article 47. Ce délai peut être prolongé d'un mois, en fonction de la complexité du traitement prévu. L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de toute prorogation dans un délai d'un mois à compter de la réception de la demande de consultation, ainsi que des motifs du retard.

Section 2

Sécurité des données

Article 29

Sécurité du traitement

1.  Les États membres prévoient que, compte tenu de l'état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel visées à l'article 10.

2.  En ce qui concerne le traitement automatisé, chaque État membre prévoit que le responsable du traitement ou le sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:

Article 30

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1.  Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l'autorité de contrôle dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après en avoir pris connaissance, à moins qu'il soit peu probable que la violation en question n'engendre des risques pour les droits et les libertés d'une personne physique. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.  Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.  La notification visée au paragraphe 1 doit, à tout le moins:

4.  Si et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.  Les États membres prévoient que le responsable du traitement documente toute violation de données à caractère personnel visée au paragraphe 1, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

6.  Les États membres prévoient que, lorsque la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d'un autre État membre ou à celui-ci, les informations visées au paragraphe 3 sont communiquées au responsable du traitement de cet État membre dans les meilleurs délais.

Article 31

Communication à la personne concernée d'une violation de données à caractère personnel

1.  Les États membres prévoient que, lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et les libertés d'une personne physique, le responsable du traitement communique la violation à la personne concernée dans les meilleurs délais.

2.  La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et les mesures visées à l'article 30, paragraphe 3, points b), c) et d).

3.  La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:

4.  Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.

5.  La communication à la personne concernée visée au paragraphe 1 du présent article peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l'article 13, paragraphe 3.

Section 3

Délégué à la protection des données

Article 32

Désignation du délégué à la protection des données

1.  Les États membres prévoient que le responsable du traitement désigne un délégué à la protection des données. Les États membres peuvent dispenser les tribunaux et d'autres autorités judiciaires indépendantes de cette obligation lorsqu'elles agissent dans l'exercice de leur fonction juridictionnelle.

2.  Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à exercer les missions visées à l'article 34.

3.  Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.

4.  Les États membres prévoient que le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à l'autorité de contrôle.

Article 33

Fonction du délégué à la protection des données

1.  Les États membres prévoient que le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2.  Le responsable du traitement aide le délégué à la protection des données à exercer les missions visées à l'article 34 en fournissant les ressources nécessaires pour exercer ces missions ainsi que l'accès aux données à caractère personnel et aux traitements, et lui permettant d'entretenir ses connaissances spécialisées.

Article 34

Missions du délégué à la protection des données

Les États membres prévoient que le responsable du traitement confie au délégué à la protection des données au moins les missions suivantes:

CHAPITRE V

Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Article 35

Principes généraux applicables aux transferts de données à caractère personnel

1.  Les États membres prévoient qu'un transfert, par des autorités compétentes, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après leur transfert vers un pays tiers ou à une organisation internationale, y compris des transferts ultérieurs vers un autre pays tiers ou à une autre organisation internationale, n'a lieu, sous réserve du respect des dispositions nationales adoptées en application d'autres dispositions de la présente directive, que lorsque les conditions définies dans le présent chapitre sont respectées, à savoir:

2.  Les États membres prévoient que les transferts effectués sans l'autorisation préalable d'un autre État membre prévue au paragraphe 1, point c), sont autorisés uniquement lorsque le transfert de données à caractère personnel est nécessaire aux fins de la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers ou pour les intérêts essentiels d'un État membre et si l'autorisation préalable ne peut pas être obtenue en temps utile. L'autorité à laquelle il revient d'accorder l'autorisation préalable est informée sans retard.

3.  Toutes les dispositions du présent chapitre sont appliquées de manière que le niveau de protection des personnes physiques assuré par la présente directive ne soit pas compromis.

Article 36

Transferts sur la base d'une décision d'adéquation

1.  Les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2.  Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte en particulier des éléments suivants:

3.  La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut constater au moyen d'un acte d'exécution qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme d'examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l'organisation internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b), du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 58, paragraphe 2.

4.  La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3.

5.  Lorsque les informations disponibles révèlent, en particulier à la suite de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission abroge, modifie ou suspend, si nécessaire, la décision visée au paragraphe 3 du présent article par voie d'actes d'exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 58, paragraphe 2.

Pour des raisons d'urgence impérieuses dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables en conformité avec la procédure visée à l'article 58, paragraphe 3.

6.  La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7.  Les États membres prévoient qu'une décision adoptée en vertu du paragraphe 5 est sans préjudice des transferts de données à caractère personnel vers le pays tiers, le territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l'organisation internationale en question, effectués en application des articles 37 et 38.

8.  La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat est ou n'est plus assuré.

Article 37

Transferts moyennant des garanties appropriées

1.  En l'absence de décision en vertu de l'article 36, paragraphe 3, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque:

2.  Le responsable du traitement informe l'autorité de contrôle des catégories de transferts relevant du paragraphe 1, point b).

3.  Lorsqu'un transfert est effectué sur la base du paragraphe 1, point b), ce transfert est documenté et la documentation est mise à la disposition de l'autorité de contrôle, sur demande, et comporte la date et l'heure du transfert, des informations sur l'autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.

Article 38

Dérogations pour des situations particulières

1.  En l'absence de décision d'adéquation en vertu de l'article 36 ou de garanties appropriées en vertu de l'article 37, les États membres prévoient qu'un transfert ou une catégorie de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu'à condition que le transfert soit nécessaire:

2.  Les données à caractère personnel ne sont pas transférées si l'autorité compétente qui transfère les données estime que les libertés et droits fondamentaux de la personne concernée l'emportent sur l'intérêt public dans le cadre du transfert visé au paragraphe 1, points d) et e).

3.  Lorsqu'un transfert est effectué sur la base du paragraphe 1, point b), ce transfert est documenté et la documentation est mise à la disposition de l'autorité de contrôle, sur demande, et indique la date et l'heure du transfert, donne des informations sur l'autorité compétente destinataire, indique la justification du transfert et les données à caractère personnel transférées.

Article 39

Transferts de données à caractère personnel à des destinataires établis dans des pays tiers

1.  Par dérogation à l'article 35, paragraphe 1, point b), et sans préjudice de tout accord international visé au paragraphe 2 du présent article, le droit de l'Union ou le droit d'un État membre peut prévoir que les autorités compétentes au sens de l'article 3, point 7) a), peuvent, dans certains cas particuliers, transférer des données à caractère personnel directement aux destinataires établis dans des pays tiers, uniquement lorsque les autres dispositions de la présente directive sont respectées et que toutes les conditions ci-après sont remplies:

2.  Par accord international visé au paragraphe 1, on entend tout accord international bilatéral ou multilatéral en vigueur entre les États membres et des pays tiers dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.

3.  L'autorité compétente qui transfère les données informe l'autorité de contrôle des transferts relevant du présent article.

4.  Lorsqu'un transfert est effectué sur la base du paragraphe 1, ce transfert est documenté.

Article 40

Coopération internationale dans le domaine de la protection des données à caractère personnel

La Commission et les États membres prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

CHAPITRE VI

Autorités de contrôle indépendantes

Section 1

Statut d'indépendance

Article 41

Autorité de contrôle

1.  Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application de la présente directive, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union (ci-après dénommées «autorité de contrôle»).

2.  Chaque autorité de contrôle contribue à l'application cohérente de la présente directive dans l'ensemble de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3.  Les États membres peuvent prévoir qu'une autorité de contrôle instituée au titre du règlement (UE) 2016/679 est l'autorité de contrôle visée dans la présente directive et prend en charge les missions de l'autorité de contrôle devant être instituée en vertu du paragraphe 1 du présent article.

4.  Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité visé à l'article 51.

Article 42

Indépendance

1.  Chaque État membre prévoit que chaque autorité de contrôle agit en toute indépendance dans l'exercice de ses missions et des pouvoirs dont elle est investie conformément à la présente directive.

2.  Les États membres prévoient que, dans l'exercice de leurs missions et de leurs pouvoirs conformément à la présente directive, le ou les membres de leurs autorités de contrôle demeurent libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent d'instructions de quiconque.

3.  Le ou les membres des autorités de contrôle des États membres s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.

4.  Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l'infrastructure nécessaires à l'exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité.

5.  Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du membre ou des membres de l'autorité de contrôle concernée.

6.  Chaque État membre veille à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance et qu'elle dispose d'un budget annuel public propre, qui peut faire partie du budget global national ou d'une entité fédérée.

Article 43

Conditions générales applicables aux membres de l'autorité de contrôle

1.  Les États membres prévoient que chacun des membres de leurs autorités de contrôle est nommé selon une procédure transparente par:

2.  Chaque membre a les qualifications, l'expérience et les compétences nécessaires, en particulier dans le domaine de la protection des données à caractère personnel, pour l'exercice de leurs fonctions et de leurs pouvoirs.

3.  Les fonctions d'un membre prennent fin à l'échéance de son mandat, en cas de démission ou de mise à la retraite d'office, conformément au droit de l'État membre concerné.

4.  Un membre ne peut être démis de ses fonctions que s'il a commis une faute grave ou s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions.

Article 44

Règles relatives à l'établissement de l'autorité de contrôle

1.  Chaque État membre prévoit, par la loi, tous les éléments suivants:

2.  Le membre ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l'Union ou au droit de l'État membre, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs missions ou de leurs pouvoirs, y compris après la cessation de leurs activités. Pendant la durée de leur mandat, ce devoir de secret professionnel s'applique en particulier au signalement par des personnes physiques de violations de la présente directive.

Section 2

Compétence, missions et pouvoirs

Article 45

Compétence

1.  Chaque État membre prévoit que chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément à la présente directive, sur le territoire de l'État membre dont elle relève.

2.  Chaque État membre prévoit que chaque autorité de contrôle n'est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle. Les États membres peuvent prévoir que leur autorité de contrôle n'est pas compétente pour contrôler les opérations de traitement effectuées par d'autres autorités judiciaires indépendantes lorsqu'elles agissent dans l'exercice de leur fonction juridictionnelle.

Article 46

Missions

1.  Chaque État membre prévoit que, sur son territoire, chaque autorité de contrôle:

2.  Chaque autorité de contrôle facilite l'introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication ne soient exclus.

3.  L'accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et pour le délégué à la protection des données.

4.  Lorsqu'une demande est manifestement infondée ou excessive, en raison, notamment, de son caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. Il incombe à l'autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.

Article 47

Pouvoirs

1.  Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs d'enquête effectifs. Ces pouvoirs comprennent au moins celui d'obtenir du responsable du traitement ou du sous-traitant l'accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l'exercice de ses missions.

2.  Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs effectifs en matière d'adoption de mesures correctrices, tels que, par exemple:

3.  Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs consultatifs effectifs pour conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 28 et d'émettre, de sa propre initiative ou sur demande, des avis à l'attention de son parlement national et de son gouvernement ou, conformément à son droit national, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel.

4.  L'exercice des pouvoirs conférés à l'autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit de l'État membre conformément à la Charte.

5.  Chaque État membre prévoit, par la loi, que chaque autorité de contrôle a le pouvoir de porter les violations des dispositions adoptées en vertu de la présente directive à la connaissance des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire respecter les dispositions adoptées en vertu de la présente directive.

Article 48

Signalement des violations

Les États membres prévoient que les autorités compétentes mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des violations de la présente directive.

Article 49

Rapports d'activité

Chaque autorité de contrôle établit un rapport annuel sur ses activités, qui peut comprendre une liste des types de violations notifiées et des types de sanctions imposées. Les rapports sont transmis au parlement national, au gouvernement et à d'autres autorités désignées par le droit de l'État membre. Ils sont mis à la disposition du public, de la Commission et du comité.

CHAPITRE VII

Coopération

Article 50

Assistance mutuelle

1.  Chaque État membre prévoit que leurs autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d'appliquer la présente directive de façon cohérente, et met en place des mesures pour coopérer efficacement. L'assistance mutuelle concerne notamment les demandes d'information et les mesures de contrôle, telles que les demandes de consultation, les inspections et les enquêtes.

2.  Chaque État membre prévoit que chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d'une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre notamment la transmission d'informations utiles sur la conduite d'une enquête.

3.  Les demandes d'assistance contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

4.  Une autorité de contrôle saisie d'une demande ne peut refuser d'y satisfaire, sauf si:

5.  L'autorité de contrôle requise informe l'autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande. L'autorité de contrôle requise donne les motifs de tout refus de satisfaire à une demande en application du paragraphe 4.

6.  Les autorités de contrôle requises communiquent, en règle générale, par voie électronique et au moyen d'un formulaire type, les informations demandées par d'autres autorités de contrôle.

7.  Les autorités de contrôle requises ne perçoivent pas de frais pour une mesure qu'elles prennent à la suite d'une demande d'assistance mutuelle. Les autorités de contrôle peuvent convenir de règles concernant l'octroi de dédommagements entre elles pour des dépenses spécifiques résultant de la fourniture d'une assistance mutuelle dans des circonstances exceptionnelles.

8.  La Commission peut, par voie d'actes d'exécution, préciser la forme et les procédures de l'assistance mutuelle visée au présent article, ainsi que les modalités de l'échange d'informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 58, paragraphe 2.

Article 51

Missions du comité

1.  Le comité institué par le règlement (UE) 2016/679 exerce les missions ci-après en ce qui concerne les activités de traitement relevant du champ d'application de la présente directive:

▼C1

▼B

En ce qui concerne le point g) du premier alinéa, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, le territoire ou le secteur déterminé dans ce pays tiers, ou avec l'organisation internationale.

2.  Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l'urgence de la question.

3.  Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 58, paragraphe 1, et les publie.

4.  La Commission informe le comité des suites qu'elle a réservées aux avis, lignes directrices, recommandations et bonnes pratiques publiés par le comité.

CHAPITRE VIII

Voies de recours, responsabilité et sanctions

Article 52

Droit d'introduire une réclamation auprès d'une autorité de contrôle

1.  Sans préjudice de tout autre recours administratif ou juridictionnel, les États membres prévoient que toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle unique, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation des dispositions adoptées en vertu de la présente directive.

2.  Les États membres prévoit que, si la réclamation n'est pas introduite auprès de l'autorité de contrôle compétente au titre de l'article 45, paragraphe 1, l'autorité de contrôle auprès de laquelle la réclamation a été introduite la transmet dans les meilleurs délais à l'autorité de contrôle compétente. La personne concernée est informée de cette transmission.

3.  Les États membres prévoient que l'autorité de contrôle auprès de laquelle la réclamation a été introduite fournit une assistance supplémentaire à la demande de la personne concernée.

4.  La personne concernée est informée par l'autorité de contrôle compétente de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'un recours juridictionnel en vertu de l'article 53.

Article 53

Droit à un recours juridictionnel effectif contre une autorité de contrôle

1.  Sans préjudice de tout autre recours administratif ou extrajudiciaire, les États membres prévoient qu'une personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d'une autorité de contrôle qui la concerne.

2.  Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l'autorité de contrôle qui est compétente en vertu de l'article 45, paragraphe 1, ne traite pas une réclamation ou n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de la réclamation qu'elle a introduite au titre de l'article 52.

3.  Les États membres disposent que les actions contre une autorité de contrôle sont intentées devant les juridictions de l'État membre sur le territoire duquel l'autorité de contrôle est établie.

Article 54

Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Les États membres prévoient que, sans préjudice de tout recours administratif ou extrajudiciaire qui leur est ouvert, notamment le droit d'introduire une réclamation auprès d'une autorité de contrôle en vertu de l'article 52, une personne concernée a droit à un recours juridictionnel effectif lorsqu'elle considère que ses droits prévus dans les dispositions adoptées en vertu de la présente directive ont été violés du fait d'un traitement de ses données à caractère personnel effectué en violation desdites dispositions.

Article 55

Représentation des personnes concernées

Les États membres prévoient, conformément à leur droit procédural, que la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel la concernant, pour qu'il introduise une réclamation en son nom et exerce en son nom les droits visés aux articles 52, 53 et 54.

Article 56

Droit à réparation

Les États membres prévoient que toute personne ayant subi un dommage matériel ou un préjudice moral du fait d'une opération de traitement illicite ou de toute action qui constitue une violation des dispositions nationales adoptées en vertu de la présente directive a le droit d'obtenir du responsable du traitement, ou de toute autre autorité compétente en vertu du droit d'un État membre, réparation du préjudice subi.

Article 57

Sanctions

Les États membres déterminent le régime des sanctions applicables en cas de violations des dispositions adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives.

CHAPITRE IX

Actes d'exécution

Article 58

Comité

1.  La Commission est assistée par le comité institué par l'article 93 du règlement (UE) 2016/679. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.  Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.

3.  Lorsqu'il est fait référence au présent paragraphe, l'article 8 du règlement (UE) no 182/2011 s'applique, en liaison avec son article 5.

CHAPITRE X

Dispositions finales

Article 59

Abrogation de la décision-cadre 2008/977/JAI

1.  La décision-cadre 2008/977/JAI est abrogée à compter du 6 mai 2018.

2.  Les références faites à la décision abrogée visée au paragraphe 1 s'entendent comme faites à la présente directive.

Article 60

Actes juridiques de l'Union déjà en vigueur

Les dispositions spécifiques relatives à la protection des données à caractère personnel figurant dans des actes juridiques de l'Union qui sont entrés en vigueur le 6 mai 2016 ou avant cette date dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, qui réglementent le traitement entre États membres et l'accès des autorités nationales désignées des États membres aux systèmes d'information créés en vertu des traités, dans le cadre de la présente directive, demeurent inchangées.

Article 61

Relation avec les accords internationaux conclus antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière

Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 6 mai 2016 et qui respectent le droit de l'Union tel qu'il est applicable avant cette date restent en vigueur jusqu'à leur modification, leur remplacement ou leur révocation.

Article 62

Rapports de la Commission

1.  Au plus tard le 6 mai 2022, et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l'évaluation et le réexamen de la présente directive. Ces rapports sont publiés.

2.  Dans le cadre de ces évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l'application et le fonctionnement du chapitre V sur le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, en accordant une attention particulière aux décisions adoptées en vertu de l'article 36, paragraphe 3, et de l'article 39.

3.  Aux fins des paragraphes 1 et 2, la Commission peut demander des informations aux États membres et aux autorités de contrôle.

4.  Lorsqu'elle procède aux évaluations et réexamens visés aux paragraphes 1 et 2, la Commission tient compte des positions et des conclusions du Parlement européen, du Conseil ainsi que d'autres organismes ou sources pertinents.

5.  La Commission présente, si nécessaire, des propositions législatives visant à modifier la présente directive, en particulier en tenant compte des évolutions en matière de technologie de l'information et de l'état d'avancement de la société de l'information.

6.  Au plus tard le 6 mai 2019, la Commission réexamine d'autres actes juridiques adoptés par l'Union qui réglementent le traitement par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1, y compris ceux qui sont visés à l'article 60, afin d'apprécier la nécessité de les mettre en conformité avec la présente directive et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le cadre de la présente directive.

Article 63

Transposition

1.  Les États membres adoptent et publient, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils communiquent immédiatement à la Commission le texte de ces dispositions. Ils appliquent ces dispositions à partir du 6 mai 2018.

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

2.  Par dérogation au paragraphe 1, un État membre peut prévoir que, à titre exceptionnel, lorsque cela exige des efforts disproportionnés, les systèmes de traitement automatisé installés avant le 6 mai 2016 sont mis en conformité avec l'article 25, paragraphe 1, au plus tard le 6 mai 2023.

3.  Par dérogation aux paragraphes 1 et 2 du présent article, un État membre peut, dans des circonstances exceptionnelles, mettre un système donné de traitement automatisé visé au paragraphe 2 du présent article, en conformité avec l'article 25, paragraphe 1, dans un délai déterminé après le délai visé au paragraphe 2 du présent article, lorsque, à défaut de cela, de graves difficultés se poseraient pour le fonctionnement du système de traitement automatisé en question. L'État membre concerné notifie à la Commission les raisons de ces graves difficultés et les motifs justifiant le délai déterminé de mise en conformité du système donné de traitement automatisé avec l'article 25, paragraphe 1. Le délai déterminé n'est en aucun cas fixé au-delà du 6 mai 2026.

4.  Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

Article 64

Entrée en vigueur

La présente directive entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 65

Destinataires

Les États membres sont destinataires de la présente directive.