(1)

Le marché intérieur est l’une des réalisations les plus concrètes de l’Union. En rendant possible la libre circulation des personnes, des biens, des services et des capitaux, il ouvre des perspectives nouvelles aux citoyens et aux entreprises. Le présent règlement est l’un des éléments clés de la stratégie pour le marché unique établie par la communication de la Commission du 28 octobre 2015 intitulée «Améliorer le marché unique: de nouvelles opportunités pour les citoyens et les entreprises». Cette stratégie a pour objectif de libérer tout le potentiel du marché intérieur en rendant encore plus facile pour les citoyens et les entreprises de se déplacer à l’intérieur de l’Union, de faire des affaires, de s’établir et d’étendre leurs activités au-delà des frontières.

(2)

Dans sa communication du 6 mai 2015 intitulée «Stratégie pour un marché unique numérique en Europe», la Commission a reconnu le rôle que jouent l’internet et les technologies numériques dans la transformation de nos vies et de la manière dont les citoyens et les entreprises accèdent à l’information, acquièrent des connaissances, achètent des biens et des services, participent au marché et travaillent, en offrant ainsi des perspectives pour l’innovation, la croissance et l’emploi. Cette communication, à l’instar de plusieurs résolutions adoptées par le Parlement européen, indiquait qu’il serait possible d’apporter une réponse plus satisfaisante aux besoins des citoyens et des entreprises dans leur propre pays et dans leurs activités transfrontières en assurant l’extension et l’intégration des portails, sites internet, réseaux, services et systèmes existant au niveau européen et en les reliant à différentes solutions nationales, de manière à créer un portail numérique unique servant de point d’entrée unique européen (ci-après dénommé «portail»). La communication de la Commission du 19 avril 2016 intitulée «Plan d’action européen 2016-2020 pour l’administration en ligne — Accélérer la mutation numérique des administrations publiques» mentionnait le portail parmi les actions prévues pour 2017. Dans son rapport du 24 janvier 2017 intitulé «Renforcer les droits des citoyens dans une Union du changement démocratique — Rapport 2017 sur la citoyenneté de l’Union», la Commission considérait le portail comme une priorité en ce qui concerne les droits des citoyens de l’Union.

(3)

À plusieurs reprises, le Parlement européen et le Conseil ont préconisé la mise à disposition d’une offre plus complète et plus facile à utiliser d’informations et d’assistance pour aider les citoyens et les entreprises à s’orienter dans le marché intérieur, ainsi qu’un renforcement et une rationalisation des outils liés au marché intérieur afin de mieux répondre aux besoins des citoyens et des entreprises dans le contexte de leurs activités transfrontières.

(4)

Le présent règlement répond à ces appels à agir en proposant aux citoyens et aux entreprises un accès aisé aux informations, aux procédures et aux services d’assistance et de résolution de problèmes dont ils ont besoin pour exercer leurs droits dans le marché intérieur. Le portail pourrait contribuer à améliorer la transparence des règles et des réglementations relatives à différents événements de la vie des personnes et des entreprises dans des domaines tels que les voyages, la retraite, l’éducation, l’emploi, la santé, les droits des consommateurs et les droits de la famille. En outre, il pourrait renforcer la confiance des consommateurs, répondre à la méconnaissance des règles en matière de protection des consommateurs et de marché intérieur, et réduire les coûts de mise en conformité qui incombent aux entreprises. Le présent règlement établit un portail interactif et facile à utiliser qui devrait orienter ses utilisateurs, à partir de leurs besoins, vers les services les mieux à même d’y répondre. Dans ce cadre, la Commission et les États membres devraient jouer un rôle important en vue de la réalisation de ces objectifs.

(5)

Le portail devrait faciliter les interactions entre les citoyens et les entreprises, d’une part, et les autorités compétentes, d’autre part, dans la mesure où il donne accès à des solutions en ligne, afin de faciliter les activités quotidiennes des citoyens et des entreprises et de réduire les obstacles qu’ils peuvent rencontrer sur le marché intérieur. L’existence d’un portail numérique unique fournissant un accès en ligne à des informations exactes et à jour, à des procédures et à des services d’assistance et de résolution de problèmes pourrait contribuer à sensibiliser les utilisateurs aux différents services en ligne existants et pourrait leur permettre de gagner du temps et de l’argent.

(6)

Le présent règlement poursuit trois objectifs, à savoir alléger la charge administrative supplémentaire pesant sur les citoyens et les entreprises qui exercent ou veulent exercer les droits que leur confère le marché intérieur, y compris la libre circulation des citoyens, en pleine conformité avec les règles et procédures nationales, éliminer les discriminations et assurer le fonctionnement du marché intérieur en ce qui concerne la mise à disposition d’informations, de procédures et de services d’assistance et de résolution de problèmes. Étant donné qu’il touche à la libre circulation des citoyens, qui ne saurait être qualifiée d’accessoire, le présent règlement devrait être fondé sur l’article 21, paragraphe 2, et sur l’article 114, paragraphe 1, du traité sur le fonctionnement de l’Union européenne.

(7)

Pour que les citoyens et les entreprises de l’Union soient en mesure d’exercer leur droit à la libre circulation dans le marché intérieur, il convient que l’Union se dote de mesures non discriminatoires spécifiques permettant aux citoyens et entreprises d’obtenir aisément des informations suffisamment complètes et fiables sur les droits que leur confère le droit de l’Union, ainsi que sur les règles et les procédures applicables au niveau national auxquelles ils doivent se conformer pour pouvoir se déplacer, vivre ou étudier ou pour pouvoir s’établir ou exercer une activité commerciale dans un État membre autre que le leur. Les informations devraient être considérées comme suffisamment complètes si elles comprennent toutes les informations qui sont nécessaires pour permettre aux utilisateurs de comprendre ce que sont leurs droits et obligations et quelles règles s’appliquent à eux relativement aux activités qu’ils veulent entreprendre en tant qu’utilisateurs transfrontières. Les informations devraient être énoncées d’une manière claire, concise et compréhensible tout en étant opérationnelles et bien adaptées au groupe d’utilisateurs visé. Les informations relatives aux procédures devraient couvrir toutes les étapes de procédure prévisibles qui sont utiles pour l’utilisateur. Il est important que les citoyens et les entreprises qui font face à des environnements réglementaires complexes, par exemple ceux qui sont actifs dans les secteurs du commerce électronique et de l’économie collaborative, puissent trouver aisément les règles en vigueur et la manière dont elles s’appliquent à leurs activités. Par «accès aisé et convivial aux informations», on entend le fait de permettre aux utilisateurs de trouver facilement les informations, d’identifier facilement les éléments d’information utiles à leur cas particulier et de comprendre facilement les informations pertinentes. Les informations à fournir au niveau national devraient se rapporter non seulement aux règles nationales qui mettent en œuvre le droit de l’Union, mais aussi à toute autre disposition de droit interne qui s’applique tant aux utilisateurs non transfrontières qu’aux utilisateurs transfrontières.

(8)

Les règles relatives à la fourniture d’informations dans le présent règlement ne devraient pas s’appliquer aux systèmes judiciaires nationaux, car les informations à ce sujet utiles aux utilisateurs transfrontières figurent déjà sur le site e-Justice. Dans certaines circonstances prévues par le présent règlement, les tribunaux devraient être considérés comme des autorités compétentes, par exemple lorsqu’elles gèrent des registres du commerce. En outre, le principe de non-discrimination devrait s’appliquer aussi aux procédures en ligne qui donnent accès aux procédures judiciaires.

(9)

Il est évident que les citoyens et les entreprises d’autres États membres sont parfois pénalisés par leur méconnaissance des règles et des systèmes administratifs nationaux, de même que par les différentes langues parlées et par la distance géographique qui les sépare des autorités compétentes d’un État membre autre que le leur. Pour lever le plus efficacement possible les obstacles entravant le marché intérieur qui en découlent, la meilleure solution est de permettre aux utilisateurs transfrontières et non transfrontières de consulter des informations en ligne, dans une langue qu’ils sont à même de comprendre, afin d’accomplir de bout en bout, en ligne, les procédures requises pour se conformer au droit national et de leur proposer de l’aide lorsque lesdites règles et procédures ne sont pas suffisamment claires ou lorsqu’ils sont face à des obstacles qui les empêchent d’exercer leurs droits.

(10)

Différents actes de l’Union étaient destinés à apporter des solutions en mettant en place des points de contact uniques dans certains secteurs, notamment les guichets uniques établis par la directive 2006/123/CE du Parlement européen et du Conseil (3), qui proposent en ligne des informations, des services d’assistance et l’accès à certaines procédures en matière de fourniture de services; les points de contact produit, établis par le règlement (CE) no 764/2008 du Parlement européen et du Conseil (4), et les points de contact produit pour la construction, établis par le règlement (UE) no 305/2011 du Parlement européen et du Conseil (5), qui donnent accès à des règles techniques propres à certains produits, de même que les centres d’assistance nationaux pour les qualifications professionnelles, établis par la directive 2005/36/CE du Parlement européen et du Conseil (6), qui aident les personnes exerçant certaines professions à travailler dans un autre État membre. En outre, des réseaux ont été mis en place, tels que les centres européens des consommateurs, qui ont pour but de faire mieux connaître les droits dont jouissent les consommateurs dans l’Union et de faciliter la résolution de différends liés à des achats faits dans d’autres États membres du réseau, que ce soit en ligne ou lors de voyages. Le réseau SOLVIT visé dans la recommandation 2013/461/UE de la Commission (7) vise quant à lui à apporter des solutions rapides, efficaces et informelles aux personnes et aux entreprises lorsque des autorités publiques font obstacle à l’exercice des droits que leur confère le marché intérieur. Enfin, plusieurs sites d’information, comme «L’Europe est à vous», pour ce qui est du marché intérieur, et e-Justice, dans le domaine judiciaire, ont été mis en place pour faire connaître les règles en vigueur au niveau de l’Union et au niveau national.

(11)

Compte tenu du caractère sectoriel de ces actes de l’Union, l’offre actuelle d’informations et de services d’assistance et de résolution de problèmes ainsi que de procédures en ligne, à l’intention des citoyens et des entreprises, demeure très morcelée. Les informations et les procédures disponibles en ligne ne sont pas toujours les mêmes partout, la qualité des services proposés est insatisfaisante, et les informations ainsi que les services d’assistance et de résolution de problèmes sont méconnus. Les utilisateurs transfrontières rencontrent également des problèmes pour trouver ces services et y accéder.

(12)

Le présent règlement devrait mettre en place un portail numérique unique qui servirait de point d’accès unique permettant aux citoyens et aux entreprises d’avoir accès à des informations sur les règles et exigences auxquelles ils doivent se conformer, qu’elles découlent du droit de l’Union ou du droit national. Ce portail devrait simplifier les contacts qu’ont les citoyens et les entreprises avec les services d’assistance et de résolution de problèmes existant à l’échelle de l’Union ou des États membres, et les rendre plus efficaces. Le portail devrait en outre faciliter l’accès aux procédures en ligne et leur accomplissement. Le présent règlement ne devrait pas avoir la moindre incidence sur les droits et obligations à respecter dans ces domaines de l’action publique en vertu du droit de l’Union ou du droit national. Pour les procédures énumérées à l’annexe II du présent règlement et les procédures prévues par les directives 2005/36/CE et 2006/123/CE et les directives 2014/24/UE (8) et 2014/25/UE (9) du Parlement européen et du Conseil, le présent règlement devrait encourager l’application du principe «une fois pour toutes» et respecter pleinement le droit fondamental à la protection des données à caractère personnel aux fins de l’échange de justificatifs entre autorités compétentes des différents États membres.

(13)

Le portail et son contenu devraient être centrés sur l’utilisateur et faciles à utiliser. Le portail devrait être destiné à éviter les redondances et assurer des liens vers les services existants. Il devrait permettre aux citoyens et aux entreprises d’interagir avec les organismes publics au niveau national et de l’Union en leur donnant la possibilité d’exprimer leur avis tant sur les services proposés par l’intermédiaire du portail que sur le fonctionnement du marché intérieur, à la lumière de leur expérience. Dans un souci d’amélioration continue de la qualité des services, l’outil de recueil d’avis devrait mettre les utilisateurs en mesure de signaler, d’une manière qui permette à l’utilisateur de demeurer anonyme, les éléments qui, d’après eux, posent problème, fonctionnent mal ou devraient être mis en place.

(14)

La réussite du portail sera le fruit d’efforts communs à la Commission et aux États membres. Le portail devrait comporter une interface utilisateur commune intégrée dans l’actuel site «L’Europe est à vous» gérée par la Commission. L’interface utilisateur commune devrait proposer des liens renvoyant aux informations, aux procédures et aux services d’assistance ou de résolution de problèmes disponibles sur les sites gérés par les autorités compétentes des États membres ou par la Commission. Pour faciliter l’utilisation du portail, il convient que l’interface utilisateur commune existe dans toutes les langues officielles des institutions de l’Union (ci-après dénommées «langues officielles de l’Union»). L’actuel site «L’Europe est à vous» et sa page d’accès internet principale, adaptée aux exigences du portail, devraient préserver cette approche multilingue des informations fournies. Le fonctionnement du portail devrait reposer sur des outils techniques élaborés par la Commission en étroite coopération avec les États membres.

(15)

Dans la charte des guichets uniques électroniques établis par la directive 2006/123/CE, qui a été approuvée par le Conseil en 2013, les États membres se sont engagés librement à adopter une approche centrée sur l’utilisateur dans la fourniture d’informations par l’intermédiaire desdits guichets uniques, dans le but de couvrir les domaines particulièrement importants pour les entreprises, dont la taxe sur la valeur ajoutée (TVA), l’impôt sur les bénéfices, la sécurité sociale ou le droit du travail. Dans le respect de ladite charte et à la lumière de l’expérience acquise avec le site «L’Europe est à vous», il convient que ces informations décrivent aussi les services d’assistance et de résolution de problèmes. Les citoyens et les entreprises devraient pouvoir avoir recours à de tels services lorsqu’ils ont des difficultés à comprendre les informations données, à les mettre en pratique dans leur cas ou à accomplir une procédure.

(16)

Le présent règlement devrait dresser la liste des domaines d’information utiles aux citoyens et aux entreprises qui exercent leurs droits et respectent leurs obligations dans le marché intérieur. Dans ces domaines, il convient de fournir au niveau national, y compris aux échelles régionales et locales, et au niveau de l’Union, des informations suffisamment complètes expliquant les règles et obligations applicables ainsi que les procédures que doivent accomplir les citoyens et les entreprises pour se conformer auxdites règles et obligations. Pour assurer la qualité des services proposés, le portail devrait fournir des informations claires, exactes et à jour, recourir le moins possible à une terminologie complexe et employer seulement des acronymes qui simplifient le texte, sont faciles à comprendre et ne nécessitent pas de connaissance préalable du sujet ou du domaine juridique. Ces informations devraient être communiquées de telle façon que les utilisateurs puissent comprendre facilement les règles et les exigences de base applicables à leur cas dans ces domaines. Les utilisateurs devraient également être informés de l’absence, dans certains États membres, de règles nationales dans les domaines d’information énumérés à l’annexe I, en particulier lorsque ces domaines sont soumis à des règles nationales dans d’autres États membres. Ces informations sur l’absence de règles nationales pourraient figurer sur le site «l’Europe est à vous».

(17)

Autant que possible, les informations déjà recueillies par la Commission auprès des États membres en vertu du droit de l’Union en vigueur ou d’arrangements volontaires — telles que les informations recueillies pour le site EURES établi par le règlement (UE) 2016/589 du Parlement européen et du Conseil (10), le site e-Justice établi par la décision 2001/470/CE du Conseil (11) ou la base de données des professions réglementées établie par la directive 2005/36/CE — devraient être utilisées pour couvrir une partie des informations devant être rendues accessibles aux citoyens et aux entreprises au niveau de l’Union et au niveau national conformément au présent règlement. Les États membres ne devraient pas être tenus de fournir sur leurs sites internet nationaux des informations qui sont déjà disponibles dans les bases de données correspondantes que gère la Commission. Lorsque les États membres doivent déjà fournir des informations en ligne en vertu d’autres actes de l’Union, tels que la directive 2014/67/UE du Parlement européen et du Conseil (12), il devrait suffire que ces États membres fournissent des liens vers les informations en ligne existantes. Lorsque certains domaines d’action ont déjà été pleinement harmonisés par le droit de l’Union, par exemple les droits des consommateurs, les informations fournies au niveau de l’Union devraient généralement suffire aux utilisateurs pour comprendre leurs droits ou obligations en la matière. En pareils cas, les États membres ne devraient être tenus de fournir des informations supplémentaires concernant leurs procédures administratives et leurs services d’assistance au niveau national ou toute autre règle administrative nationale que si elles sont pertinentes pour les utilisateurs. Les informations relatives aux droits des consommateurs, par exemple, ne devraient pas avoir d’incidence sur le droit des contrats mais devraient plutôt informer les utilisateurs de leurs droits garantis par le droit de l’Union ou le droit national dans le cadre des transactions commerciales.

(18)

Le présent règlement devrait imprimer la logique du marché intérieur dans le contexte des procédures en ligne, et contribuer ainsi à la numérisation du marché intérieur, en imposant le principe général de non-discrimination entre autres pour ce qui est de l’accès des citoyens ou des entreprises aux procédures en ligne déjà en place au niveau national en vertu du droit de l’Union ou du droit national ainsi qu’aux procédures qui doivent être intégralement mises à disposition en ligne conformément au présent règlement. Lorsqu’un utilisateur se trouvant dans une situation exclusivement cantonnée à un seul État membre peut avoir accès à une procédure en ligne dans cet État membre, et l’accomplir, dans un domaine relevant du présent règlement, un utilisateur transfrontière devrait aussi être en mesure, sans obstacle discriminatoire, d’avoir accès à cette procédure en ligne et de l’accomplir, au moyen soit de la même solution technique, soit d’une autre solution techniquement distincte mais produisant le même résultat. De tels obstacles pourraient découler de solutions conçues au niveau national, comme l’utilisation de champs de formulaire qui ne permettent de saisir que des numéros de téléphone, des préfixes téléphoniques ou des codes postaux nationaux, des frais à acquitter uniquement au moyen de systèmes qui n’acceptent pas les paiements transfrontières, l’absence d’explications détaillées dans une langue comprise par les utilisateurs transfrontières, l’impossibilité de transmettre par voie électronique des justificatifs délivrés par des autorités situées dans un autre État membre et le refus de reconnaître les moyens d’identification électronique délivrés dans d’autres États membres. Les États membres devraient fournir des solutions à ces obstacles.

(19)

Lorsque des utilisateurs accomplissent des procédures en ligne transfrontières, ils devraient pouvoir recevoir toutes les explications utiles dans une langue officielle de l’Union qui est largement comprise par le plus grand nombre possible d’utilisateurs transfrontières. Cela ne signifie pas que les États membres soient tenus de traduire leurs formulaires administratifs liés à la procédure, ni le résultat de cette procédure dans ladite langue. Toutefois, les États membres sont encouragés à recourir à des solutions techniques qui permettraient aux utilisateurs, aussi souvent que possible, d’accomplir les procédures dans cette langue, dans le respect des règles des États membres sur l’usage des langues.

(20)

Les procédures nationales en ligne qui sont utiles pour permettre aux utilisateurs transfrontières d’exercer leurs droits liés au marché intérieur dépend de la question de savoir si lesdits utilisateurs résident ou sont établis dans l’État membre concerné ou s’ils veulent avoir accès aux procédures de cet État membre alors qu’ils résident ou sont établis dans un autre État membre. Le présent règlement ne devrait pas empêcher les États membres d’imposer aux utilisateurs transfrontières qui résident ou sont établis sur leur territoire d’obtenir un numéro d’identification national afin d’accéder aux procédures nationales en ligne, pour autant que cela n’implique pas pour ces utilisateurs une charge ou des frais supplémentaires injustifiés. Il n’est pas obligatoire de rendre intégralement accessibles en ligne aux utilisateurs transfrontières qui ne résident pas ou ne sont pas établis dans l’État membre concerné les procédures nationales en ligne qui ne sont pas utiles à l’exercice par ces personnes de leurs droits liés au marché intérieur, par exemple une inscription pour bénéficier de services locaux tels que l’enlèvement des déchets ou les permis de stationnement.

(21)

Le présent règlement devrait s’appuyer sur le règlement (UE) no 910/2014 du Parlement européen et du Conseil (13), lequel établit les conditions de reconnaissance, par les États membres, de certains moyens d’identification électronique des personnes physiques et morales sujettes à un schéma d’identification électronique notifié d’un autre État membre. Le règlement (UE) no 910/2014 prévoit les conditions auxquelles les utilisateurs ont le droit d’utiliser leurs moyens d’identification et d’authentification électroniques pour accéder à des services publics en ligne dans des situations transfrontières. Les institutions, organes et organismes de l’Union sont encouragés à accepter les moyens d’identification et d’authentification électroniques pour les procédures qui relèvent de leur responsabilité.

(22)

Plusieurs actes sectoriels du droit de l’Union, tels que les directives 2005/36/CE, 2006/123/CE, 2014/24/UE et 2014/25/UE imposent la mise en ligne intégrale des procédures. Le présent règlement devrait prescrire que certaines autres procédures essentielles pour la majorité des citoyens et des entreprises exerçant leurs droits et se conformant à leurs obligations au niveau transfrontière soient pleinement accessibles en ligne.

(23)

Pour que les citoyens et les entreprises puissent directement tirer avantage du marché intérieur sans devoir faire face à un surcroît de charges administratives superflues, le présent règlement devrait imposer la numérisation intégrale de l’interface utilisateur de certaines procédures clés pour les utilisateurs transfrontières, lesquelles sont énumérées à l’annexe II du présent règlement. Le présent règlement devrait en outre prévoir les critères pour déterminer de quelle manière ces procédures peuvent être considérées comme étant intégralement en ligne. L’obligation de mise en ligne intégrale d’une telle procédure ne devrait s’appliquer que lorsque la procédure a été établie dans l’État membre concerné. Le présent règlement ne devrait pas couvrir l’enregistrement initial d’une activité commerciale, les procédures à suivre pour la constitution de sociétés en tant qu’entités juridiques, ou, ensuite, l’éventuel dépôt de pièces par de telles sociétés, car les procédures de ce type requièrent l’application d’une approche globale visant à faciliter les solutions numériques tout au long du cycle de vie d’une société. Pour établir une entreprise dans un autre État membre, l’enregistrement auprès d’un système de sécurité sociale et d’un système d’assurance est requis en vue de l’inscription des salariés et du versement de cotisations à chacun de ces systèmes. L’entreprise pourrait devoir notifier ses activités commerciales, obtenir des autorisations ou enregistrer les changements apportés à son activité commerciale. De telles procédures concernent les entreprises qui exercent dans de nombreux secteurs d’activité, de sorte qu’il convient de prévoir qu’elles soient mises en ligne.

(24)

Le présent règlement devrait préciser ce que signifie proposer une procédure intégralement en ligne. Une procédure devrait être considérée comme intégralement en ligne si l’utilisateur peut en accomplir chaque étape, depuis l’accès à ladite procédure jusqu’à son achèvement, en communiquant avec l’autorité compétente (guichet), par des moyens électroniques, à distance et en recourant à un service en ligne. Ce service en ligne devrait guider l’utilisateur à travers une liste de toutes les exigences à respecter et de tous les justificatifs à fournir, lui permettre de communiquer les informations et les preuves du respect de toutes ces exigences et lui envoyer automatiquement un accusé de réception, à moins que le résultat de la procédure ne lui soit fourni immédiatement. Cela ne devrait pas empêcher les autorités compétentes de contacter les utilisateurs directement, lorsque c’est nécessaire pour obtenir des précisions supplémentaires nécessaires à la procédure. Si possible en vertu du droit de l’Union et du droit national applicables, les autorités compétentes devraient également fournir à l’utilisateur le résultat de la procédure, comme prévu dans le présent règlement, par voie électronique.

(25)

Le présent règlement ne devrait pas avoir d’incidence sur le fond des procédures répertoriées à l’annexe II qui sont établies au niveau national, régional ou local et il ne fixe pas de règles matérielles ou procédurales dans les domaines qui relèvent de l’annexe II, y compris en matière fiscale. Le présent règlement a pour finalité d’établir les prescriptions techniques nécessaires pour que de telles procédures, lorsqu’elles ont été établies dans les États membres concernés, soient intégralement mises en ligne.

(26)

Le présent règlement ne devrait pas avoir d’incidence sur les compétences des autorités nationales dans les procédures, y compris la vérification de l’exactitude et de la validité des informations ou des justificatifs fournis, et la vérification de l’authenticité dans le cas où le justificatif est soumis par d’autres moyens que le système technique fondé sur le principe «une fois pour toutes». Le présent règlement ne devrait pas non plus avoir d’incidence sur l’organisation des étapes des procédures, par voie électronique ou non, au sein des autorités compétentes ou entre celles-ci (arrière-guichet). Lorsque c’est nécessaire dans le cadre de certaines procédures d’enregistrement des changements apportés aux activités commerciales, les États membres devraient pouvoir continuer à imposer la participation de notaires ou de juristes qui pourraient vouloir utiliser des moyens de vérification comprenant la visioconférence ou d’autres moyens en ligne qui permettent une connexion audiovisuelle en temps réel. Cependant, cette participation ne devrait pas empêcher de mener à bien l’intégralité des procédures d’enregistrement de tels changements en ligne.

(27)

Dans certains cas, il peut être demandé aux utilisateurs de fournir des justificatifs pour attester d’éléments dont la véracité ne peut être prouvée en ligne. De tels justificatifs pourraient être par exemple un certificat médical, un certificat de vie, la preuve qu’un véhicule a fait l’objet d’un contrôle technique ou la confirmation de son numéro de châssis. Pour autant que ces justificatifs puissent être fournis dans un format électronique, cela ne devrait pas déroger au principe selon lequel une procédure devrait être proposée intégralement en ligne. Dans d’autres cas, il se peut que l’utilisateur d’une procédure soit encore tenu de se présenter en personne devant une autorité compétente dans le contexte d’une procédure en ligne. Toute exception de cette nature, autre que celles qui découlent du droit de l’Union, devrait être limitée aux situations qui sont justifiées par une raison impérieuse d’intérêt public dans les domaines de la sécurité publique, de la santé publique ou de la lutte contre la fraude. Dans un souci de transparence, les États membres devraient partager avec la Commission et les autres États membres des informations sur de telles exceptions et sur les motifs et circonstances pouvant justifier leur application. Les États membres ne devraient pas être tenus de signaler chaque cas individuel dans lequel, à titre exceptionnel, la présentation en personne a été requise, mais ils devraient plutôt communiquer les dispositions nationales qui prévoient de tels cas. Les meilleures pratiques au niveau national ainsi que les évolutions techniques permettant d’accroître la numérisation à cet égard devraient faire l’objet de discussions régulières au sein d’un groupe de coordination du portail.

(28)

Dans les situations transfrontières, la procédure permettant d’enregistrer un changement d’adresse pourrait comprendre deux procédures distinctes, l’une dans l’État membre d’origine pour demander la radiation de l’ancienne adresse, et l’autre dans l’État membre de destination pour demander l’enregistrement de la nouvelle adresse. Ces deux procédures devraient être régies par le présent règlement.

(29)

Étant donné que la numérisation des exigences, procédures et formalités liées à la reconnaissance des qualifications professionnelles est déjà régie par la directive 2005/36/CE, le présent règlement ne devrait couvrir que la numérisation de la procédure de demande de reconnaissance académique de diplômes, de certificats ou d’autres documents attestant que des cours ont été intégralement suivis, en ce qui concerne une personne qui souhaite commencer à étudier, continuer d’étudier ou utiliser un titre de formation, en dehors des formalités liées à la reconnaissance des qualifications professionnelles.

(30)

Le présent règlement ne devrait pas avoir d’incidence sur les règles de coordination de la sécurité sociale énoncées dans les règlements (CE) no 883/2004 (14) et (CE) no 987/2009 (15) du Parlement européen et du Conseil, qui définissent les droits et obligations des assurés et des institutions de sécurité sociale, de même que les procédures applicables en matière de coordination de la sécurité sociale.

(31)

Plusieurs réseaux et services ont été créés au niveau de l’Union et au niveau national pour aider les citoyens et les entreprises dans leurs activités transfrontières. Il est important que ces services, dont les services d’assistance ou de résolution de problèmes existant au niveau de l’Union, tels que les centres européens des consommateurs, «L’Europe vous conseille», SOLVIT, le bureau d’assistance «Droits de la propriété intellectuelle», Europe Direct et le réseau Entreprise Europe, fassent partie du portail, afin que tout utilisateur potentiel puisse les retrouver. Les services qui sont énumérés à l’annexe III ont été mis en place par des actes contraignants de l’Union, tandis que d’autres services reposent sur une participation libre. Les services établis par des actes contraignants de l’Union devraient être soumis aux exigences de qualité énoncées dans le présent règlement. Les services qui reposent sur une participation libre devraient se conformer à ces exigences de qualité s’il est prévu de les rendre accessibles par l’intermédiaire du portail. La portée et la nature de ces services, les arrangements relatifs à leur gouvernance, les délais existants ainsi que les modalités volontaires, contractuelles ou autres de leur fonctionnement ne devraient pas être modifiés par le présent règlement. Par exemple, lorsque l’assistance qu’ils fournissent est de nature informelle, le présent règlement ne devrait pas avoir pour effet de la transformer en un conseil juridique de nature contraignante.

(32)

Par ailleurs, les États membres et la Commission devraient pouvoir ajouter d’autres services nationaux d’assistance et de résolution de problèmes au portail, qu’ils soient assurés par les autorités compétentes ou par des opérateurs privés ou semi-privés, ou encore par des organismes publics, comme les chambres de commerce ou des services non gouvernementaux d’assistance aux citoyens, dans les conditions prévues par le présent règlement. En principe, il incombe aux autorités compétentes d’aider les citoyens et les entreprises en cas de demandes relatives aux règles et procédures en vigueur que ne pourraient satisfaire pleinement les services en ligne. Dans des domaines très spécialisés toutefois, et lorsque les services proposés par des opérateurs privés ou semi-privés répondent aux besoins des utilisateurs, les États membres peuvent proposer à la Commission d’inclure de tels services dans le portail, pour autant que ceux-ci respectent toutes les conditions établies par le présent règlement et ne fassent pas double emploi avec des services d’assistance ou de résolution des problèmes déjà inclus.

(33)

Pour aider les utilisateurs dans leur recherche de services, le présent règlement devrait prévoir la mise en place d’un outil de recherche de services d’assistance les orientant automatiquement vers le service approprié.

(34)

Le respect d’une série minimale d’exigences de qualité est primordial pour que le portail soit une réussite; il importe en effet que les informations et les services proposés soient fiables, sans quoi la crédibilité du portail dans son ensemble serait sérieusement mise à mal. L’objectif global de conformité consiste à assurer que les informations ou le service soient présentés d’une façon claire et d’utilisation simple. Il incombe aux États membres de déterminer comment les informations sont présentées tout au long du parcours de l’utilisateur afin de réaliser cet objectif. Par exemple, s’il est utile pour les utilisateurs d’être informés, avant le lancement d’une procédure, des moyens de recours généralement disponibles en cas d’issue défavorable d’une procédure, il est bien plus convivial de fournir les éventuelles informations spécifiques sur les mesures qu’il est possible de prendre en un tel cas à la fin de la procédure.

(35)

L’accès aux informations est nettement facilité pour les utilisateurs transfrontières si celles-ci sont disponibles dans une langue officielle de l’Union largement comprise par le plus grand nombre possible d’utilisateurs transfrontières. Cette langue devrait être, dans la plupart des cas, la langue étrangère la plus largement étudiée par les utilisateurs dans l’ensemble de l’Union, mais dans certains cas spécifiques, plus particulièrement dans le cas d’informations à fournir au niveau local par de petites municipalités proches de la frontière d’un État membre, la langue la plus adaptée sera peut-être celle qui est utilisée comme première langue par les utilisateurs transfrontières dans l’État membre voisin. La traduction à partir de la ou des langues officielles de l’État membre en question vers cette autre langue officielle de l’Union devrait être fidèle au contenu des informations fournies dans la langue ou les langues originales. La traduction peut se limiter aux informations dont les utilisateurs ont besoin pour comprendre les règles et exigences de base qui s’appliquent à leur cas. S’il est vrai que les États membres devraient être encouragés à traduire autant d’informations que possible dans une langue officielle de l’Union qui est largement comprise par le plus grand nombre possible d’utilisateurs transfrontières, le volume d’informations à traduire, conformément au présent règlement, dépendra des ressources financières disponibles à cette fin, en particulier celles provenant du budget de l’Union. La Commission devrait prendre les dispositions appropriées pour veiller à ce que les traductions soient fournies de façon efficace aux États membres, à leur demande. Le groupe de coordination du portail devrait débattre et fournir des orientations sur la ou les langues officielles de l’Union dans lesquelles ces informations devraient être traduites.

(36)

Conformément à la directive (UE) 2016/2102 du Parlement européen et du Conseil (16), les États membres sont tenus de veiller à ce que les sites internet de leurs organismes publics soient accessibles dans le respect des principes de perceptibilité, d’opérabilité, de compréhensibilité et de solidité et qu’ils respectent les exigences établies dans ladite directive. Il convient que la Commission et les États membres veillent au respect de la convention des Nations unies relative aux droits des personnes handicapées, et en particulier ses articles 9 et 21, et il convient, pour favoriser l’accès aux informations des personnes présentant des déficiences intellectuelles, de fournir, dans la plus large mesure possible et conformément au principe de proportionnalité, des versions dans une langue facile à comprendre. Les États membres en procédant à la ratification et l’Union en procédant à la conclusion (17) de la convention des Nations unies relative aux droits des personnes handicapées se sont engagés à prendre des mesures appropriées pour assurer aux personnes handicapées, sur la base de l’égalité avec les autres, l’accès aux nouveaux systèmes et aux nouvelles technologies de l’information et de la communication, y compris l’internet, en facilitant l’accès aux informations des personnes présentant des déficiences intellectuelles grâce à la fourniture, dans la plus large mesure possible et de manière proportionnée, de versions dans une langue facile à comprendre.

(37)

La directive (UE) 2016/2102 ne s’applique pas aux sites internet et aux applications mobiles des institutions, organes et organismes de l’Union mais la Commission devrait veiller à ce que l’interface utilisateur commune et les pages internet relevant de sa responsabilité qui doivent être incluses dans le portail soient accessibles aux personnes handicapées, ce qui signifie qu’elles sont perceptibles, utilisables, compréhensibles et solides. La perceptibilité signifie que les informations et les composants des interfaces utilisateurs communes doivent pouvoir être présentés aux utilisateurs de manière à ce qu’ils les perçoivent; l’opérabilité signifie que les composants des interfaces utilisateurs communes et la navigation doivent être utilisables; la compréhensibilité signifie que les informations et l’utilisation des interfaces utilisateurs communes doivent être compréhensibles; et la solidité signifie que le contenu doit être suffisamment solide pour être interprété de manière fiable par une grande diversité d’agents utilisateurs, y compris des technologies d’assistance. En ce qui concerne les termes «perceptible», «utilisable», «compréhensible» et «solide», la Commission est encouragée à se conformer aux normes harmonisées pertinentes.

(38)

Pour faciliter le paiement des frais exigés dans le cadre des procédures en ligne ou pour la fourniture de services d’assistance ou de résolution de problèmes, les utilisateurs transfrontières devraient pouvoir recourir à des virements ou à des prélèvements, comme prévu dans le règlement (UE) no 260/2012 du Parlement européen et du Conseil (18), ou à d’autres moyens de paiement transfrontières généralement utilisés, y compris les cartes de débit ou de crédit.

(39)

Il est utile que les utilisateurs soient informés de la durée prévue de la procédure. En conséquence, les utilisateurs devraient être informés des arrangements applicables pour les délais, l’approbation tacite ou le silence de l’administration ou, à défaut de tels arrangements, au moins de la durée moyenne, estimée ou indicative habituelle de la procédure en question. De telles estimations ou indications devraient uniquement aider les utilisateurs à planifier leurs activités ou toute démarche administrative ultérieure et ne devraient avoir aucun effet juridique.

(40)

Le présent règlement devrait également permettre la vérification des justificatifs transmis en format électronique par les utilisateurs lorsque ces derniers sont fournis sans cachet électronique ou authentification émanant de l’autorité compétente qui les a émis, ou lorsque l’outil technique établi par le présent règlement ou tout autre système permettant l’échange direct ou la vérification de justificatifs entre les autorités compétentes de différents États membres n’est pas disponible. Pour de tels cas, il convient que le présent règlement prévoie un mécanisme efficace de coopération administrative entre les autorités compétentes des États membres, fondé sur le système d’information du marché intérieur (IMI) établi par le règlement (UE) no 1024/2012 du Parlement européen et du Conseil (19). En pareils cas, la décision d’une autorité compétente de recourir à l’IMI devrait être volontaire mais, une fois que ladite autorité a présenté une demande d’information ou de coopération au moyen de l’IMI, l’autorité compétente requise devrait être tenue de coopérer et de répondre. La demande peut être adressée au moyen de l’IMI soit à l’autorité compétente délivrant le justificatif, soit à l’autorité centrale, désignées par les États membres conformément à leurs propres règles administratives. Pour éviter tout double emploi inutile, et comme le règlement (UE) 2016/1191 du Parlement européen et du Conseil (20) couvre une partie des justificatifs pertinents pour les procédures relevant du présent règlement, les arrangements en matière de coopération concernant l’IMI prévus dans le règlement (UE) 2016/1191 peuvent s’appliquer également aux fins des autres justificatifs exigés dans les procédures relevant du présent règlement. Il y a lieu de modifier le règlement (UE) no 1024/2012 pour que les organes et organismes de l’Union puissent intervenir dans l’IMI.

(41)

Les services en ligne fournis par les autorités compétentes sont essentiels pour améliorer la qualité et la sécurité des services proposés aux citoyens et aux entreprises. Les administrations publiques des États membres s’emploient de plus en plus à réutiliser les données, n’imposant plus aux citoyens et aux entreprises de produire plusieurs fois la même information. La réutilisation de données devrait être facilitée pour les utilisateurs transfrontières, pour alléger tout surcroît de charge administrative.

(42)

Pour permettre l’échange licite transfrontière de justificatifs et d’informations au moyen de l’application dans toute l’Union du principe «une fois pour toutes», il convient d’appliquer le présent règlement et ledit principe en observant toutes les règles applicables de la protection des données, notamment les principes de limitation des données au minimum nécessaire, d’exactitude, de limitation de la conservation, d’intégrité et de confidentialité, de nécessité, de proportionnalité et de limitation des finalités. Sa mise en œuvre devrait également respecter pleinement les principes de la sécurité et du respect de la vie privée dès le stade de la conception, et elle devrait également respecter les droits fondamentaux des personnes, notamment ceux touchant à l’équité et à la transparence.

(43)

Il convient que les États membres veillent à ce que des informations claires soient fournies aux utilisateurs des procédures sur le traitement de leurs données à caractère personnel, conformément aux articles 13 et 14 du règlement (UE) 2016/679 du Parlement européen et du Conseil (21) et aux articles 15 et 16 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (22).

(44)

Pour encourager encore davantage le recours aux procédures en ligne, le présent règlement devrait, dans le respect du principe «une fois pour toutes», jeter les bases de la création et de l’utilisation d’un système technique pleinement opérationnel, sûr et sécurisé pour l’échange transfrontière automatisé de justificatifs entre les acteurs participant à la procédure, lorsque les citoyens ou les entreprises en font la demande expresse. Lorsque les justificatifs échangés comprennent des données à caractère personnel, la demande devrait être considérée comme expresse si elle comporte une indication donnée librement, spécifique, éclairée et univoque selon laquelle la personne souhaite que ces informations à caractère personnel soient échangées, soit par une déclaration soit par un acte positif. Si l’utilisateur n’est pas la personne concernée par les données, la procédure en ligne ne devrait pas porter atteinte à ses droits au titre du règlement (UE) 2016/679. L’application transfrontière du principe «une fois pour toutes» devrait signifier que les citoyens et les entreprises ne sont pas tenus de fournir les mêmes données à des autorités publiques plus d’une fois et qu’il devrait également être possible d’utiliser ces données, à la demande de l’utilisateur, pour l’accomplissement en ligne des procédures transfrontières concernant des utilisateurs transfrontières. Pour l’autorité compétente émettrice, l’obligation d’utiliser le système technique en vue de l’échange automatisé de justificatifs entre différents États membres ne devrait s’appliquer que lorsque les autorités émettent légalement, dans leur propre État membre, des justificatifs dans un format électronique qui permet un tel échange automatisé.

(45)

Tout échange transfrontière de justificatifs devrait s’appuyer sur une base juridique appropriée, telle que les directives 2005/36/CE, 2006/123/CE, 2014/24/UE ou 2014/25/UE, ou, pour les procédures énumérées à l’annexe II, sur d’autres actes législatifs de l’Union ou nationaux.

(46)

Il y a lieu que le présent règlement prévoie, en tant que règle générale, que l’échange transfrontière automatisé de justificatifs a lieu à la demande expresse de l’utilisateur. Toutefois, cette exigence ne devrait pas s’appliquer lorsque le droit applicable de l’Union ou national permet l’échange de données transfrontière automatisé en l’absence de demande expresse d’un utilisateur.

(47)

L’utilisation du système technique mis en place par le présent règlement devrait rester facultative et l’utilisateur devrait demeurer libre de transmettre des justificatifs par des voies autres que le système technique. L’utilisateur devrait avoir la possibilité de prévisualiser les justificatifs et le droit de choisir de ne pas procéder à l’échange de justificatifs dans les cas où, après avoir prévisualisé les justificatifs à échanger, il découvre que les informations sont inexactes, obsolètes ou vont au-delà de ce qui est nécessaire pour la procédure en question. Les données figurant dans la prévisualisation ne devraient pas être conservées plus longtemps que ce qui est nécessaire sur le plan technique.

(48)

Le système technique sécurisé qui devrait être mis en place pour permettre l’échange de justificatifs au titre du présent règlement devrait aussi donner l’assurance aux autorités compétentes requérantes que les justificatifs ont bien été délivrés par l’autorité appropriée. Avant d’accepter des informations fournies par un utilisateur dans le contexte d’une procédure, l’autorité compétente devrait être en mesure de les vérifier lorsqu’elles suscitent un doute, et de conclure qu’elles sont exactes.

(49)

Un certain nombre d’éléments constitutifs offrant des capacités de base existent et peuvent être utilisés pour mettre en place le système technique, comme le mécanisme pour l’interconnexion en Europe (MIE), établi par le règlement (UE) no 1316/2013 du Parlement européen et du Conseil (23) et l’identification et la fourniture en ligne qui font partie de ce mécanisme. Ces éléments constitutifs consistent en des spécifications techniques, des modèles de logiciels et des services d’assistance, et visent à assurer l’interopérabilité entre les systèmes de technologie de l’information et de la communication (TIC) existants dans différents États membres, de façon que les citoyens, les entreprises et les administrations, où qu’ils se trouvent dans l’Union, puissent bénéficier de services publics numériques homogènes.

(50)

Le système technique mis en place par le présent règlement devrait être mis à disposition parallèlement à d’autres systèmes qui fournissent des dispositifs de coopération entre autorités, comme l’IMI, et ne devrait pas avoir d’incidence sur d’autres systèmes, dont celui prévu par le règlement (CE) no 987/2009, le document unique de marché européen prévu par la directive 2014/24/UE, l’échange électronique d’informations sur la sécurité sociale prévu par le règlement (CE) no 987/2009, la carte professionnelle européenne prévue par la directive 2005/36/CE, l’interconnexion de registres nationaux, l’interconnexion des registres centraux, du commerce ou des sociétés prévue par la directive (UE) 2017/1132 du Parlement européen et du Conseil (24) et l’interconnexion des registres d’insolvabilité prévue par le règlement (UE) 2015/848 du Parlement européen et du Conseil (25).

(51)

Afin d’assurer des conditions uniformes d’exécution du système technique permettant l’échange automatisé de justificatifs, il convient de conférer des compétences d’exécution à la Commission pour établir, en particulier, les spécifications techniques et opérationnelles d’un système traitant les demandes d’échange de justificatifs des utilisateurs et assurant la transmission de ces justificatifs, ainsi que pour établir les règles requises pour garantir l’intégrité et la confidentialité de la transmission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (26).

(52)

Afin de faire en sorte que le système technique offre un niveau élevé de sécurité pour l’application transfrontière du principe «une fois pour toutes», la Commission devrait, lors de l’adoption des actes d’exécution établissant les spécifications d’un tel système technique, tenir dûment compte des normes et des spécifications techniques élaborées par les organisations et les instances européennes et internationales de normalisation, en particulier le Comité européen de normalisation (CEN), l’Institut européen des normes de télécommunications (ETSI), l’Organisation internationale de normalisation (ISO) et l’Union internationale des télécommunications (UIT), ainsi que les normes de sécurité visées à l’article 32 du règlement (UE) 2016/679 et à l’article 22 du règlement (UE) 2018/1725.

(53)

Si cela est nécessaire pour assurer le développement, la disponibilité, la maintenance, le contrôle, la surveillance et la gestion de la sécurité des parties du système technique dont la Commission est responsable, cette dernière devrait demander l’avis du Contrôleur européen de la protection des données.

(54)

Les autorités compétentes et la Commission devraient veiller à ce que les informations, les procédures et les services dont elles sont responsables respectent des critères de qualité. Il convient que les coordonnateurs nationaux désignés en vertu du présent règlement et la Commission surveillent à intervalles réguliers le respect des critères de qualité et de sécurité, au niveau national et au niveau de l’Union respectivement, et remédient aux éventuels problèmes qui se font jour. Les coordonnateurs nationaux devraient en outre aider la Commission à surveiller le fonctionnement du système technique permettant l’échange transfrontière de justificatifs. Le présent règlement devrait doter la Commission d’un éventail de moyens lui permettant de faire face à toute dégradation de la qualité des services proposés par l’intermédiaire du portail, selon le degré de gravité et la persistance de cette dégradation, en faisant intervenir, si nécessaire, le groupe de coordination du portail. Cela ne devrait préjuger en rien de la responsabilité générale incombant à la Commission quant au contrôle du respect du présent règlement.

(55)

Il convient que le présent règlement détermine les principales fonctionnalités des outils techniques appuyant le fonctionnement du portail, en particulier l’interface utilisateur commune, le répertoire de liens et l’outil commun de recherche de services d’assistance. Il convient que l’interface utilisateur commune permette aux utilisateurs de trouver facilement les informations, les procédures ainsi que les services d’assistance et de résolution de problèmes sur les sites internet nationaux et au niveau de l’Union. L’objectif des États membres et de la Commission devrait être de fournir des liens vers une source unique proposant les informations nécessaires pour le portail, de façon à éviter de dérouter les utilisateurs en raison de l’existence de sources différentes, ou qui se recoupent en tout ou partie, pour les mêmes informations. Cela ne devrait pas empêcher de fournir des liens vers les mêmes informations offertes par les autorités compétentes au niveau local ou régional en ce qui concerne différentes zones géographiques. Cela ne devrait pas non plus empêcher un certain recoupement des informations lorsque c’est inévitable ou souhaitable, par exemple lorsque certains droits, certaines obligations et certaines règles de l’Union sont répétés ou expliqués sur des pages internet nationales afin d’améliorer la facilité d’utilisation. Afin de réduire au maximum l’intervention humaine pour la mise à jour des liens à utiliser sur l’interface utilisateur commune, il convient d’établir, lorsque c’est techniquement possible, une connexion directe entre les systèmes techniques concernés des États membres et le répertoire de liens. Les outils communs de soutien TIC pourraient utiliser le vocabulaire des principaux services publics afin de faciliter l’interopérabilité avec les catalogues et la sémantique des services au niveau national. Les États membres devraient être encouragés à utiliser le vocabulaire des principaux services publics mais ils ont la faculté de recourir à des solutions nationales. Les informations figurant dans le répertoire de liens devraient être mises à la disposition du public dans un format ouvert, communément utilisé et lisible par machine, par exemple grâce à des interfaces de programmation (API), afin d’en permettre la réutilisation.

(56)

Le moteur de recherche de l’interface utilisateur commune devrait amener les utilisateurs aux informations dont ils ont besoin, que ce soit sur des pages internet nationales ou de l’Union. En outre, afin de guider d’une autre manière les utilisateurs vers les informations utiles, le moteur de recherche restera utile pour créer des liens entre les sites ou pages internet existants et complémentaires, en les rationalisant et les regroupant autant que possible, et pour créer des liens entre les pages ou sites internet au niveau de l’Union et au niveau national en donnant accès aux services et aux informations en ligne.

(57)

Il convient que le présent règlement détermine également des exigences de qualité applicables à l’interface utilisateur commune. Il convient que la Commission garantisse que l’interface utilisateur commune respecte ces exigences, et l’interface devrait en particulier être disponible et accessible en ligne par différents canaux, ainsi que d’utilisation aisée.

(58)

Afin d’assurer des conditions uniformes d’exécution des solutions techniques sous-tendant le portail, il convient de conférer des compétences d’exécution à la Commission afin que celle-ci définisse, lorsque c’est nécessaire, les normes applicables et les exigences en matière d’interopérabilité de sorte que les informations relatives aux règles et aux obligations, aux procédures ainsi qu’aux services d’assistance et de résolution de problèmes relevant de la responsabilité des États membres et de la Commission soient plus faciles à trouver. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011.

(59)

Le présent règlement devrait en outre répartir clairement les responsabilités entre la Commission et les États membres en ce qui concerne le développement, la disponibilité, la maintenance et la sécurité des applications TIC sous-tendant le portail. Dans le cadre de leurs missions de maintenance, la Commission et les États membres devraient surveiller régulièrement le bon fonctionnement de ces applications TIC.

(60)

Pour que les différents domaines d’information, les procédures et les services d’assistance et de résolution de problèmes à proposer par l’intermédiaire du portail puissent produire tous leurs effets, il convient de sensibiliser fortement les publics cibles quant à leur existence et à leur fonctionnement. L’inclusion dans le portail devrait aider les utilisateurs à trouver beaucoup plus aisément les informations, les procédures et les services d’assistance et de résolution de problèmes dont ils ont besoin, même lorsqu’ils ne les connaissent pas au préalable. En outre, des activités coordonnées promotionnelles seront nécessaires pour faire découvrir le portail et les possibilités offertes par celui-ci aux citoyens et aux entreprises dans l’Union tout entière. De telles activités promotionnelles devraient inclure l’optimisation des moteurs de recherche ainsi que d’autres actions de sensibilisation en ligne, car ce sont les mesures qui présentent le meilleur rapport coût-efficacité et qui sont susceptibles de toucher le public cible le plus large possible. Dans un souci d’efficacité maximale, il importe que les activités promotionnelles soient coordonnées dans le contexte du groupe de coordination du portail et que les États membres alignent leurs initiatives en la matière de manière à faire référence à une marque commune dans tous les contextes pertinents, la marque du portail pouvant être associée à celle d’initiatives nationales.

(61)

L’ensemble des institutions, organes et organismes de l’Union devraient être encouragés à promouvoir le portail en intégrant son logo et des liens vers celui-ci dans toutes les pages internet pertinentes dont ils sont responsables.

(62)

Le nom utilisé pour désigner le portail et le promouvoir à l’intention du grand public est «Your Europe». L’interface utilisateur commune devrait être bien visible et facile à trouver, en particulier sur les pages internet nationales et de l’Union pertinentes. Le logo du portail devrait être visible sur les sites internet nationaux et de l’Union pertinents.

(63)

Afin d’obtenir des données adéquates permettant d’apprécier et d’améliorer le fonctionnement du portail, il convient que le présent règlement impose aux autorités compétentes et à la Commission de collecter et d’analyser les données sur l’utilisation des différents domaines d’information, procédures et services proposés par l’intermédiaire du portail. La collecte de statistiques concernant les utilisateurs, portant notamment sur le nombre de consultations de pages internet spécifiques, le nombre d’utilisateurs situés à l’intérieur d’un État membre par rapport aux utilisateurs de l’extérieur, les critères de recherche utilisés, les pages internet les plus consultées, les sites internet de référence ou encore le nombre, l’origine et l’objet des demandes d’assistance, devrait améliorer le fonctionnement du portail en aidant à identifier le public, à développer les activités promotionnelles et à renforcer la qualité des services proposés. Pour éviter tout chevauchement, la collecte de ces données devrait tenir compte de l’analyse comparative des administrations en ligne que la Commission réalise annuellement.

(64)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission afin d’établir des règles uniformes concernant la méthode de collecte et d’échange de statistiques concernant les utilisateurs. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011.

(65)

La qualité du portail dépend de la qualité des services fournis au niveau national et de l’Union par l’intermédiaire du portail. Il convient par conséquent que le contrôle de la qualité des informations, procédures et services d’assistance et de résolution de problèmes proposés par l’intermédiaire du portail soit également effectué de manière régulière au moyen d’un outil de recueil d’avis invitant les utilisateurs à évaluer et communiquer leur avis sur le contenu et la qualité des informations, procédures ou services d’assistance et de résolution de problèmes qu’ils ont utilisés. Ces avis devraient être recueillis dans un outil commun, auquel la Commission, les autorités compétentes et les coordonnateurs nationaux devraient avoir accès. Afin d’assurer des conditions uniformes d’exécution du présent règlement en ce qui concerne les fonctionnalités communes des outils de recueil d’avis des utilisateurs, ainsi que les modalités de la collecte et de la mise en commun de ces avis, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011. La Commission devrait publier, de manière anonyme, des récapitulatifs en ligne des problèmes recensés au travers des informations, des principales statistiques concernant les utilisateurs et des principaux avis d’utilisateurs recueillis en application du présent règlement.

(66)

En outre, le portail devrait intégrer un outil de recueil d’avis permettant aux utilisateurs de signaler, spontanément et de façon anonyme, tout problème et toute difficulté qu’ils ont rencontrés en exerçant leurs droits au sein du marché intérieur. Il convient de ne considérer un tel outil que comme complémentaire des mécanismes de traitement des plaintes, puisqu’il ne peut proposer de réponse personnalisée aux utilisateurs. Les informations reçues devraient être combinées aux informations agrégées émanant des services d’assistance et de résolution de problèmes concernant les cas qui leur auront été soumis, de manière à produire un panorama du marché intérieur tel qu’il est perçu par les utilisateurs et à mettre en évidence les aspects problématiques, en vue de possibles actions futures pour améliorer le fonctionnement du marché intérieur. Ce panorama devrait être lié aux outils de suivi existants, par exemple le tableau d’affichage du marché unique.

(67)

Le présent règlement ne devrait pas affecter le droit des États membres de décider qui devrait exercer le rôle de coordinateur national. Les États membres devraient pouvoir adapter les fonctions et les responsabilités de leurs coordinateurs nationaux liées au portail à leurs structures administratives internes. Les États membres devraient pouvoir nommer des coordinateurs nationaux supplémentaires pour exécuter les tâches prévues par le présent règlement, seuls ou conjointement avec d’autres, en charge d’un département au sein de l’administration ou d’une région géographique ou en fonction d’autres critères. Les États membres devraient communiquer à la Commission des informations sur l’identité du coordinateur national unique qu’ils ont nommé pour être en contact avec la Commission.

(68)

Il convient de mettre en place un groupe de coordination du portail, composé des coordonnateurs nationaux et présidé par la Commission, ayant pour mission de faciliter l’application du présent règlement, en particulier par l’échange des meilleures pratiques et par une collaboration visant à améliorer la présentation cohérente des informations, comme le requiert le présent règlement. Les travaux du groupe de coordination du portail devraient tenir compte des objectifs fixés dans le programme de travail annuel, que la Commission devrait soumettre à son examen. Le programme de travail annuel devrait se présenter sous la forme de lignes directrices ou de recommandations qui ne lient pas les États membres. À la demande du Parlement européen, la Commission peut décider d’inviter ce dernier à envoyer des experts assister aux réunions du groupe de coordination du portail.

(69)

Le présent règlement devrait préciser quelles sont les parties du portail qui doivent être financées par le budget de l’Union et lesquelles relèvent de la responsabilité des États membres. La Commission devrait aider les États membres à recenser les éléments constitutifs réutilisables dans le domaine des TIC et les financement disponibles via différents fonds et programmes au niveau de l’Union qui peuvent contribuer à couvrir les coûts afférents aux adaptations et aux développements nécessaires dans le domaine des TIC au niveau national pour respecter le présent règlement. Le budget nécessaire à la mise en œuvre du présent règlement devrait être compatible avec le cadre financier pluriannuel applicable.

(70)

Les États membres sont encouragés à accentuer leur coordination, leurs échanges et leur collaboration mutuels afin d’accroître leurs capacités stratégiques, opérationnelles et en matière de recherche et développement dans le domaine de la cybersécurité, en particulier par la mise en œuvre de la sécurité des réseaux et de l’information visée dans la directive (UE) 2016/1148 du Parlement européen et du Conseil (27), afin de renforcer la sécurité et la résilience de leurs administrations et services publics. Les États membres sont encouragés à renforcer la sécurité des transactions et à garantir un niveau de confiance suffisant dans les moyens électroniques à l’aide du cadre eIDAS établi par le règlement (UE) no 910/2014 et, notamment, de niveaux d’assurance adéquats. Les États membres peuvent prendre des mesures conformément au droit de l’Union pour préserver la cybersécurité et prévenir la fraude à l’identité ou d’autres types de fraude.

(71)

Lorsque l’application du présent règlement entraîne le traitement de données à caractère personnel, ce traitement devrait être effectué conformément au droit de l’Union relatif à la protection de telles données, en particulier le règlement (UE) 2016/679 et le règlement (UE) 2018/1725. La directive (UE) 2016/680 du Parlement européen et du Conseil (28) devrait également s’appliquer dans le contexte du présent règlement. Comme le prévoit le règlement (UE) 2016/679, les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données relatives à la santé et peuvent aussi prévoir des règles plus spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail.

(72)

Le présent règlement devrait promouvoir et faciliter la rationalisation des arrangements en matière de gouvernance pour les services couverts par le portail. À cet effet, la Commission devrait, en étroite coopération avec les États membres, examiner les arrangements existants en matière de gouvernance et les adapter, au besoin, afin d’éviter les recoupements et les sources d’inefficacité.

(73)

Le présent règlement a pour objectif de garantir que les utilisateurs actifs dans d’autres États membres aient accès en ligne à des informations complètes, fiables, accessibles et compréhensibles, existant au niveau de l’Union ou au niveau national, sur les droits, les règles et les obligations applicables, de même qu’à des procédures en ligne qu’ils peuvent accomplir intégralement de manière transfrontière et à des services d’assistance et de résolution de problèmes. Étant donné que cet objectif ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des dimensions et des effets du présent règlement, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(74)

Afin de permettre aux États membres et à la Commission d’élaborer et de mettre en place les outils nécessaires pour donner effet au présent règlement, il convient que certaines des dispositions de ce dernier s’appliquent deux ans après son entrée en vigueur. Les autorités municipales devraient disposer de quatre ans au maximum à compter de l’entrée en vigueur du présent règlement pour mettre en œuvre l’exigence visant à fournir des informations sur les règles, les procédures et les services d’assistance et de résolution de problèmes relevant de leur responsabilité. Les dispositions du présent règlement relatives aux procédures devant être proposées intégralement en ligne, à l’accès transfrontière aux procédures en ligne et au système technique pour l’échange transfrontière automatisé de justificatifs conformément au principe «une fois pour toutes» devraient être mises en œuvre au plus tard cinq ans après l’entrée en vigueur du présent règlement.

(75)

Le présent règlement respecte les droits fondamentaux et observe les principes consacrés notamment par la charte des droits fondamentaux de l’Union européenne et devrait être appliqué conformément à ces droits et principes.

(76)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil (29), et a rendu son avis le 1er août 2017 (30),

(1)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

(2)

Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (3) donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union.

(3)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et la directive (UE) 2016/680 du Parlement européen et du Conseil (5) ont été adoptés le 27 avril 2016. Alors que le règlement définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union, la directive définit les règles spécifiques visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.

(4)

Le règlement (UE) 2016/679 apporte les adaptations nécessaires au règlement (CE) no 45/2001 en vue de garantir un cadre de protection des données solide et cohérent dans l’Union et permettre que celui-ci s’applique en parallèle avec le règlement (UE) 2016/679.

(5)

Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement suivent les mêmes principes que les dispositions du règlement (UE) 2016/679, ces deux ensembles de dispositions devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour»), être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme étant équivalent au régime du règlement (UE) 2016/679.

(6)

Les personnes dont les données à caractère personnel sont traitées par les institutions et organes de l’Union dans quelque contexte que ce soit, par exemple parce qu’elles sont employées par ces institutions et organes, devraient être protégées. Le présent règlement ne devrait pas s’appliquer au traitement des données à caractère personnel des personnes décédées. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concerne les personnes morales, et en particulier les entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

(7)

Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.

(8)

Le présent règlement devrait s’appliquer au traitement des données à caractère personnel par l’ensemble des institutions, organes et organismes de l’Union. Il devrait s’appliquer au traitement des données à caractère personnel automatisé en tout ou en partie et au traitement non automatisé des données à caractère personnel contenues ou appelées à figurer dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du présent règlement.

(9)

Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du traité sur le fonctionnement de l’Union européenne pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Un chapitre distinct du présent règlement, contenant des règles générales, devrait donc s’appliquer au traitement des données opérationnelles à caractère personnel, telles que les données à caractère personnel traitées à des fins d’enquête pénale par les organes ou organismes de l’Union lorsqu’ils exercent des activités dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

(10)

La directive (UE) 2016/680 fixe des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Afin d’assurer le même niveau de protection pour les personnes physiques à l’aide de droits opposables dans l’ensemble de l’Union et d’éviter que des divergences n’entravent les échanges de données à caractère personnel entre les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne et les autorités compétentes, les règles pour la protection et la libre circulation des données opérationnelles à caractère personnel traitées par lesdits organes ou organismes de l’Union devraient être conformes à la directive (UE) 2016/680.

(11)

Les règles générales du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel devraient s’appliquer sans préjudice des règles spécifiques applicables au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne. Ces règles spécifiques devraient être considérées comme une lex specialis par rapport aux dispositions du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel (lex specialis derogat legi generali). Afin de réduire la fragmentation juridique, les règles spécifiques en matière de protection des données applicables au traitement des données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne devraient être conformes aux principes qui sous-tendent le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel, ainsi qu’aux dispositions du présent règlement relatives à un contrôle indépendant, aux voies de recours, à la responsabilité et aux sanctions.

(12)

Le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel devrait s’appliquer aux organes et organismes de l’Union lorsqu’ils exercent, que ce soit à titre principal ou accessoire, des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. Cependant, il ne devrait s’appliquer à Europol ou au Parquet européen qu’une fois que les actes juridiques instituant Europol et le Parquet européen auront été modifiés de manière que le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel, tel qu’adapté, leur soit applicable.

(13)

La Commission devrait procéder à un réexamen du présent règlement, en particulier du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel. La Commission devrait également procéder à un réexamen des autres actes juridiques adoptés sur la base des traités qui régissent le traitement des données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne. Au terme de ce réexamen, pour assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement des données à caractère personnel, la Commission devrait pouvoir présenter des propositions législatives appropriées, y compris des adaptations du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel nécessaires en vue de l’appliquer à Europol et au Parquet européen. Les adaptations devraient tenir compte des dispositions relatives à un contrôle indépendant, aux voies de recours, à la responsabilité et aux sanctions.

(14)

Le traitement des données administratives à caractère personnel, telles que les données relatives au personnel, par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne devrait être couvert par le présent règlement.

(15)

Il convient que le présent règlement s’applique au traitement des données à caractère personnel par les institutions, organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application du titre V, chapitre 2, du traité sur l’Union européenne. Le présent règlement ne devrait pas s’appliquer au traitement des données à caractère personnel par des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité sur l’Union européenne, qui mettent en œuvre la politique de sécurité et de défense commune. Le cas échéant, des propositions pertinentes devraient être présentées pour réglementer davantage le traitement des données à caractère personnel dans le domaine de la politique de sécurité et de défense commune.

(16)

Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

(17)

La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L’introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.

(18)

Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

(19)

Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. Dans le même temps, la personne concernée devrait avoir le droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement des données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement et qu’il est dès lors improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

(20)

Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données est limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées en ce qui les concerne, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement, l’utilisation non autorisée de ces données et de cet équipement ainsi que la divulgation non autorisée de ces données lors de leur transmission.

(21)

Conformément au principe de responsabilité, lorsque des institutions et organes de l’Union transmettent des données à caractère personnel en interne et que le destinataire n’est pas un responsable du traitement ou les transmettent à d’autres institutions ou organes, ils devraient vérifier si ces données à caractère personnel sont nécessaires à l’exécution légitime de missions relevant de la compétence du destinataire. En particulier, à la suite d’une demande de transmission de données à caractère personnel par le destinataire, le responsable du traitement devrait vérifier l’existence d’un motif valable justifiant le traitement licite des données à caractère personnel ainsi que la compétence du destinataire. Le responsable du traitement devrait également procéder à une évaluation provisoire de la nécessité de la transmission des données. Si des doutes se font jour quant à la nécessité de cette transmission, le responsable du traitement devrait demander au destinataire un complément d’informations. Le destinataire devrait veiller à ce que la nécessité de la transmission des données puisse être vérifiée ultérieurement.

(22)

Pour être licite, le traitement de données à caractère personnel devrait être fondé sur la nécessité pour les institutions et organes de l’Union d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont ils sont investis, sur la nécessité de respecter une obligation légale à laquelle le responsable du traitement est soumis ou sur tout autre fondement légitime prévu par le présent règlement, y compris le consentement de la personne concernée, la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée. Le traitement de données à caractère personnel effectué pour l’exécution de missions d’intérêt public par les institutions et organes de l’Union comprend le traitement de données à caractère personnel nécessaire pour la gestion et le fonctionnement de ces institutions et organes. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu’il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique. Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine.

(23)

Le droit de l’Union visé dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les personnes qui y sont soumises, conformément aux exigences énoncées dans la Charte et dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

(24)

Les règles internes visées dans le présent règlement devraient être des actes de portée générale clairs et précis destinés à produire des effets juridiques vis-à-vis des personnes concernées. Elles devraient être adoptées au niveau le plus élevé de la hiérarchie des institutions et organes de l’Union, dans la limite de leurs compétences et pour ce qui concerne des questions liées à leur fonctionnement. Elles devraient faire l’objet d’une publication au Journal officiel de l’Union européenne. Il convient que l’application de ces règles soit prévisible pour les personnes qui y sont soumises, conformément aux exigences énoncées dans la Charte et dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Les règles internes peuvent prendre la forme de décisions, en particulier lorsqu’elles sont adoptées par les institutions de l’Union.

(25)

Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. Si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, le droit de l’Union peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. La base juridique prévue par le droit de l’Union en ce qui concerne le traitement de données à caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres: de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données; de la nature des données à caractère personnel; des conséquences pour les personnes concernées du traitement ultérieur prévu; et de l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

(26)

Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil (6), une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

(27)

Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à la création de profils de personnalité et à la collecte de données à caractère personnel relatives aux enfants lorsque des services sont proposés directement à un enfant sur des sites internet d’institutions et d’organes de l’Union, tels que des services de communication interpersonnels ou la vente en ligne de tickets, et que le traitement des données à caractère personnel repose sur le consentement.

(28)

Lorsque des destinataires établis dans l’Union autres que les institutions et organes de l’Union souhaitent que des données à caractère personnel leur soient transmises par les institutions et organes de l’Union, ils devraient démontrer qu’il leur est nécessaire d’obtenir la transmission des données pour l’exécution de leur mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont ils sont investis. Une autre possibilité consisterait pour ces destinataires à démontrer qu’il est nécessaire que ces données soient transmises dans un but spécifique d’intérêt public et le responsable du traitement devrait déterminer s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée. En pareils cas, le responsable du traitement devrait mettre en balance, d’une manière vérifiable, les divers intérêts concurrents en vue d’évaluer la proportionnalité de la transmission de données à caractère personnel requise. Le but spécifique d’intérêt public pourrait avoir trait à la transparence des institutions et organes de l’Union. En outre, les institutions et organes de l’Union devraient démontrer une telle nécessité lorsqu’ils sont eux-mêmes à l’origine d’une transmission, conformément aux principes de transparence et de bonne administration. Les exigences prévues dans le présent règlement pour les transmissions à des destinataires établis dans l’Union autres que les institutions et organes de l’Union devraient s’entendre comme étant complémentaires aux conditions de licéité du traitement.

(29)

Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits fondamentaux. De telles données à caractère personnel ne devraient être traitées que si les conditions spécifiques énoncées dans le présent règlement sont réunies. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l’exercice des libertés fondamentales.

(30)

Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées à des fins liées à la santé que lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques.

(31)

Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (7), à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins.

(32)

Si les données à caractère personnel qu’il traite ne lui permettent pas d’identifier une personne physique, le responsable du traitement ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Toutefois, le responsable du traitement ne devrait pas refuser des informations supplémentaires fournies par la personne concernée afin de faciliter l’exercice de ses droits. L’identification devrait comprendre l’identification numérique d’une personne concernée, par exemple au moyen d’un mécanisme d’authentification tel que les mêmes identifiants, utilisé par la personne concernée pour se connecter au service en ligne proposé par le responsable du traitement.

(33)

Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque le responsable du traitement a évalué s’il est possible d’atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d’identifier les personnes concernées, pour autant que des garanties appropriées existent (comme, par exemple, la pseudonymisation des données). Les institutions et organes de l’Union devraient prévoir dans le droit de l’Union des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ce qui peut inclure des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement.

(34)

Des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l’objet d’un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d’un mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes.

(35)

Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l’existence d’un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et qu’elle soit informée des conséquences auxquelles elle s’expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

(36)

Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle ou, si les données à caractère personnel sont obtenues d’une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu’il a l’intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l’origine des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

(37)

Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement administré ou toute intervention pratiquée. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

(38)

Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d’un «droit à l’oubli» lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l’Union auquel le responsable du traitement est soumis. Les personnes concernées devraient avoir le droit d’obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu’elles s’opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté d’expression et d’information, au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice.

(39)

Afin de renforcer le «droit à l’oubli» numérique, le droit à l’effacement devrait également être étendu de façon que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques, afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

(40)

Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d’un site internet. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon que les données à caractère personnel ne fassent pas l’objet d’opérations de traitement ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.

(41)

Pour renforcer encore le contrôle qu’elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l’objet d’un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d’encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s’appliquer lorsque la personne concernée a fourni les données à caractère personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l’exécution d’un contrat. Il ne devrait dès lors pas s’appliquer lorsque le traitement des données à caractère personnel est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, une obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les données à caractère personnel devrait s’entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d’obtenir l’effacement de données à caractère personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l’effacement de données à caractère personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l’exécution d’un contrat, dans la mesure où et aussi longtemps que ces données à caractère personnel sont nécessaires à l’exécution de ce contrat. Lorsque c’est techniquement possible, la personne concernée devrait avoir le droit d’obtenir que les données soient transmises directement d’un responsable du traitement à un autre.

(42)

Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, la personne concernée devrait néanmoins avoir le droit de s’opposer au traitement de toute donnée à caractère personnel en rapport avec sa situation particulière. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

(43)

La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le «profilage» qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative.

Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu’elle est expressément autorisée par le droit de l’Union. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant. Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risque d’erreur soit réduit au minimum, sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée, et prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou tout traitement qui se traduit par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés qu’à des conditions spécifiques.

(44)

Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, au droit à la confidentialité des données de communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par des actes juridiques adoptés sur la base des traités ou des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique et pour la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales. Cela comprend la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, la protection de la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, ainsi que la tenue de registres publics pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.

(45)

Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(46)

Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(47)

Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

(48)

La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

(49)

Le règlement (UE) 2016/679 prévoit que les responsables du traitement démontrent qu’ils respectent les obligations qui leur incombent par l’application de mécanismes de certification approuvés. De même, les institutions et organes de l’Union devraient être en mesure de démontrer qu’ils respectent le présent règlement par l’obtention d’une certification, conformément à l’article 42 du règlement (UE) 2016/679.

(50)

La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.

(51)

Afin que les exigences du présent règlement soient respectées dans le cadre d’un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisfont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L’application par des sous-traitants autres que les institutions et organes de l’Union d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. La réalisation d’un traitement par un sous-traitant autre qu’une institution ou un organe de l’Union devrait être régie par un contrat ou, dans le cas d’une institution ou d’un organe de l’Union agissant en tant que sous-traitant, par un contrat ou un autre acte juridique établi au titre du droit de l’Union, liant le sous-traitant au responsable du traitement, définissant l’objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant devraient pouvoir choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par le Contrôleur européen de la protection des données puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l’Union ou le droit d’un État membre auquel le sous-traitant est soumis n’exige la conservation de ces données à caractère personnel.

(52)

Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, les institutions et organes de l’Union devraient pouvoir établir un registre central dans lequel sont consignées leurs activités de traitement. Pour des raisons de transparence, ils devraient aussi pouvoir rendre ce registre public.

(53)

Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels, ou un préjudice moral.

(54)

Les institutions et organes de l’Union devraient garantir la confidentialité des communications électroniques comme le prévoit l’article 7 de la Charte. Les institutions et organes de l’Union devraient, en particulier, garantir la sécurité de leurs réseaux de communications électroniques. Ils devraient protéger les informations liées à l’équipement terminal des utilisateurs ayant accès à leurs sites internet et applications mobiles accessibles au public conformément à la directive 2002/58/CE du Parlement européen et du Conseil (8). Ils devraient également protéger les données à caractère personnel conservées dans les annuaires d’utilisateurs.

(55)

Une violation de données à caractère personnel risquerait, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral. En conséquence, dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, il convient qu’il notifie cette violation de données à caractère personnel au Contrôleur européen de la protection des données dans les meilleurs délais et, lorsque c’est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu’il ne puisse démontrer, conformément au principe de responsabilité, qu’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, elle devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu. Si ce retard est justifié, il convient de publier dès que possible les informations moins sensibles ou moins spécifiques relatives à la violation plutôt que de résoudre entièrement l’incident qui en est à l’origine avant la notification.

(56)

Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec le Contrôleur européen de la protection des données, dans le respect des directives données par celui-ci ou par d’autres autorités compétentes, telles que les autorités répressives.

(57)

Le règlement (CE) no 45/2001 prévoit une obligation générale pour le responsable du traitement de notifier les opérations de traitement de données à caractère personnel au délégué à la protection des données. Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, le délégué à la protection des données doit tenir un registre des opérations de traitement notifiées. Outre cette obligation générale, des procédures et des mécanismes efficaces devraient être en mis en place pour suivre les opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur étendue, de leur contexte et de leurs finalités. De telles procédures devraient également être en place, notamment, lorsqu’il s’agit de types d’opérations de traitement qui impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial. Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de l’étendue, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

(58)

Lorsqu’il ressort d’une analyse d’impact relative à la protection des données qu’en l’absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d’avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre, il y a lieu de consulter le Contrôleur européen de la protection des données avant le début des activités de traitement. Certains types de traitements, de même que l’ampleur et la fréquence des traitements, sont susceptibles d’engendrer un tel risque élevé et pourraient également causer un dommage ou porter atteinte aux droits et libertés d’une personne physique. Le Contrôleur européen de la protection des données devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l’absence de réaction du Contrôleur européen de la protection des données dans ce délai devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d’interdire des opérations de traitement. Dans le cadre de ce processus de consultation, il devrait être possible de soumettre au Contrôleur européen de la protection des données les résultats d’une analyse d’impact relative à la protection des données réalisée en ce qui concerne le traitement en question, en particulier les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(59)

Le Contrôleur européen de la protection des données devrait être informé des mesures administratives et consulté au sujet des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement lorsqu’elles prévoient le traitement de données à caractère personnel, fixent des conditions aux restrictions des droits des personnes concernées ou fournissent des garanties adéquates en ce qui concerne les droits des personnes concernées, afin d’assurer la conformité du traitement visé avec le présent règlement, en particulier, en ce qui concerne l’atténuation des risques encourus par la personne concernée.

(60)

Le règlement (UE) 2016/679 a institué le comité européen de la protection des données en tant qu’organe indépendant de l’Union doté de la personnalité juridique. Le comité devrait contribuer à l’application cohérente du règlement (UE) 2016/679 et de la directive (UE) 2016/680 dans l’ensemble de l’Union, notamment en conseillant la Commission. Parallèlement, le Contrôleur européen de la protection des données devrait continuer d’exercer ses fonctions de contrôle et de conseil pour toutes les institutions et tous les organes de l’Union, que ce soit de sa propre initiative ou sur demande. Afin de garantir la cohérence des règles applicables en matière de protection des données dans l’ensemble de l’Union, la Commission, lorsqu’elle prépare des propositions ou des recommandations, devrait s’efforcer de consulter le Contrôleur européen de la protection des données. La Commission devrait être tenue de procéder à une consultation après l’adoption d’actes législatifs ou pendant l’élaboration d’actes délégués et d’actes d’exécution tels que définis aux articles 289, 290 et 291 du traité sur le fonctionnement de l’Union européenne, ainsi qu’après l’adoption de recommandations et de propositions relatives à des accords conclus avec des pays tiers et des organisations internationales visés à l’article 218 du traité sur le fonctionnement de l’Union européenne, lorsque ces actes, recommandations ou propositions ont une incidence sur le droit à la protection des données à caractère personnel. Dans de tels cas, la Commission devrait être obligée de consulter le Contrôleur européen de la protection des données, sauf lorsque le règlement (UE) 2016/679 prévoit la consultation obligatoire du comité européen de la protection des données, par exemple au sujet de décisions d’adéquation ou d’actes délégués concernant les icônes normalisées et les exigences applicables aux mécanismes de certification. Lorsque l’acte en question revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de leurs données à caractère personnel, la Commission devrait pouvoir, en outre, consulter le comité européen de la protection des données. Dans de tels cas, le Contrôleur européen de la protection des données devrait, en tant que membre du comité européen de la protection des données, coordonner ses travaux avec ce dernier en vue de remettre un avis conjoint. Le Contrôleur européen de la protection des données et, le cas échéant, le comité européen de la protection des données devraient fournir leurs conseils par écrit dans un délai de huit semaines. Ce délai devrait être raccourci en cas d’urgence ou dans d’autres cas jugés appropriés, par exemple lorsque la Commission élabore des actes délégués et des actes d’exécution.

(61)

Conformément à l’article 75 du règlement (UE) 2016/679, le secrétariat du comité européen de la protection des données devrait être assuré par le Contrôleur européen de la protection des données.

(62)

Dans l’ensemble des institutions et organes de l’Union, un délégué à la protection des données devrait veiller à l’application des dispositions du présent règlement et conseiller les responsables du traitement et les sous-traitants au sujet du respect de leurs obligations. Ce délégué devrait être une personne possédant des connaissances spécialisées dans le domaine du droit et des pratiques en matière de protection des données, qui devrait être désigné notamment en fonction des opérations de traitement de données effectuées par le responsable du traitement ou le sous-traitant et de la protection exigée pour les données à caractère personnel concernées. Ces délégués à la protection des données devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance.

(63)

Lorsque des données à caractère personnel sont transférées au départ des institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement devrait être préservé. Il y a lieu d’appliquer les mêmes garanties en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement ainsi que des libertés et droits fondamentaux inscrits dans la Charte. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement relatives au transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

(64)

La Commission peut décider, en vertu de l’article 45 du règlement (UE) 2016/679 ou de l’article 36 de la directive (UE) 2016/680, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale par une institution ou un organe de l’Union peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation.

(65)

En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l’insuffisance de la protection des données dans un pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties appropriées peuvent consister à recourir à des clauses types de protection des données adoptées par la Commission, à des clauses types de protection des données adoptées par le Contrôleur européen de la protection des données ou à des clauses contractuelles autorisées par le Contrôleur européen de la protection des données. Lorsque le sous-traitant n’est ni une institution ni un organe de l’Union, lesdites garanties appropriées peuvent également consister en des règles d’entreprise contraignantes, des codes de conduite et des mécanismes de certification utilisés pour les transferts internationaux en vertu du règlement (UE) 2016/679. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée pour le traitement au sein de l’Union, y compris l’existence de droits opposables pour la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et par défaut. Des transferts peuvent également être effectués par des institutions et organes de l’Union vers des autorités publiques ou des organismes publics dans des pays tiers ou vers des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, tels qu’un protocole d’accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L’autorisation du Contrôleur européen de la protection des données devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(66)

La possibilité qu’ont les responsables du traitement ou les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par le Contrôleur européen de la protection des données ne devrait pas les empêcher d’inclure ces clauses dans un contrat plus large, tel qu’un contrat entre le sous-traitant et un autre sous-traitant, ni d’y ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par le Contrôleur européen de la protection des données et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l’intermédiaire d’engagements contractuels qui viendraient compléter les clauses types de protection des données.

(67)

Certains pays tiers adoptent des lois, des règlements et d’autres actes juridiques qui visent à réglementer directement les activités de traitement effectuées par les institutions et organes de l’Union. Il peut s’agir de décisions de juridictions ou d’autorités administratives de pays tiers qui exigent d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel, et qui ne sont pas fondées sur un accord international en vigueur entre le pays tiers demandeur et l’Union. L’application extraterritoriale de ces lois, règlements et autres actes juridiques peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l’Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, entre autres, lorsque la divulgation est nécessaire pour un motif important d’intérêt public reconnu par le droit de l’Union.

(68)

Il y a lieu de prévoir, dans des situations spécifiques, la possibilité de transferts dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est occasionnel et nécessaire dans le cadre d’un contrat ou d’une action en justice, qu’il s’agisse d’une procédure judiciaire, administrative ou extrajudiciaire, y compris de procédures devant des organismes de régulation. Il convient également de prévoir la possibilité de transferts lorsque des motifs importants d’intérêt public établis par le droit de l’Union l’exigent, ou lorsque le transfert intervient au départ d’un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime. Dans ce dernier cas, ce transfert ne devrait pas porter sur la totalité des données à caractère personnel ni sur des catégories entières de données contenues dans le registre, à moins que le droit de l’Union ne l’autorise, et, lorsque ledit registre est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert ne devrait être effectué qu’à la demande de ces personnes ou lorsqu’elles doivent en être les destinataires, compte dûment tenu des intérêts et des droits fondamentaux de la personne concernée.

(69)

Ces dérogations devraient s’appliquer en particulier aux transferts de données requis et nécessaires pour des motifs importants d’intérêt public, par exemple en cas d’échange international de données entre institutions et organes de l’Union et autorités de la concurrence, administrations fiscales ou douanières, autorités de surveillance financière, services chargés des questions de sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu’il est nécessaire pour protéger un intérêt essentiel pour la sauvegarde des intérêts vitaux, y compris l’intégrité physique ou la vie, de la personne concernée ou d’une autre personne, si la personne concernée se trouve dans l’incapacité de donner son consentement. En l’absence de décision d’adéquation, le droit de l’Union peut, pour des motifs importants d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données vers un pays tiers ou une organisation internationale. Tout transfert vers une organisation humanitaire internationale de données à caractère personnel d’une personne concernée qui se trouve dans l’incapacité physique ou juridique de donner son consentement, en vue d’accomplir une mission relevant des conventions de Genève ou de respecter le droit humanitaire international applicable dans les conflits armés, pourrait être considéré comme nécessaire pour des motifs importants d’intérêt public ou parce que ce transfert est dans l’intérêt vital de la personne concernée.

(70)

En tout état de cause, lorsque la Commission ne s’est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l’Union une fois que ces données ont été transférées, de façon que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

(71)

Lorsque des données à caractère personnel franchissent les frontières extérieures de l’Union, cela peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l’utilisation ou de la divulgation illicite de ces informations. De même, les autorités de contrôle nationales et le Contrôleur européen de la protection des données peuvent être confrontés à l’impossibilité d’examiner des réclamations ou de mener des enquêtes sur les activités échappant à leur compétence territoriale. Leurs efforts pour collaborer dans un contexte transfrontière peuvent également être freinés par les pouvoirs insuffisants dont ils disposent en matière de prévention ou de recours, par l’hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. Par conséquent, une coopération plus étroite entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales devrait être encouragée afin de favoriser l’échange d’informations avec leurs homologues internationaux.

(72)

La mise en place, dans le règlement (CE) no 45/2001, du Contrôleur européen de la protection des données, qui est habilité à exercer ses missions et ses pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Le présent règlement devrait davantage renforcer et préciser son rôle et son indépendance. Il convient que le Contrôleur européen de la protection des données soit une personne offrant toutes les garanties d’indépendance et qui possède, de manière notoire, l’expérience et les compétences requises pour l’exercice des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’elle fait partie ou a fait partie d’une des autorités de contrôle instituées en vertu de l’article 51 du règlement (UE) 2016/679.

(73)

Afin de garantir la cohérence dans l’ensemble de l’Union en ce qui concerne l’application des règles en matière de protection des données et le contrôle de leur respect, il convient que le Contrôleur de la protection des données ait les mêmes missions et les mêmes pouvoirs effectifs que les autorités de contrôle nationales, y compris des pouvoirs d’enquête, le pouvoir d’adopter des mesures correctrices et d’infliger des sanctions, ainsi que des pouvoirs d’autorisation et des pouvoirs consultatifs, notamment en cas de réclamation introduite par des personnes physiques, et le pouvoir de porter les violations du présent règlement à l’attention de la Cour et d’ester en justice conformément au droit primaire. Ces pouvoirs devraient également inclure celui d’imposer une limitation temporaire ou définitive au traitement, y compris une interdiction. Afin d’éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées qui pourraient être affectées, chaque mesure prise par le Contrôleur européen de la protection des données devrait être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, devrait tenir compte des circonstances de chaque cas et respecter le droit de chacun d’être entendu avant l’adoption d’une mesure le concernant. Toute mesure juridiquement contraignante prise par le Contrôleur européen de la protection des données devrait être présentée par écrit, être claire et dénuée d’ambiguïté, indiquer la date à laquelle la mesure a été prise, porter la signature du Contrôleur européen de la protection des données, exposer les motifs justifiant la mesure et mentionner le droit à un recours effectif.

(74)

La compétence en matière de contrôle dont est investi le Contrôleur européen de la protection des données ne devrait pas concerner le traitement des données à caractère personnel effectué par la Cour dans l’exercice de ses fonctions juridictionnelles, afin de préserver l’indépendance de la Cour dans l’accomplissement de ses missions judiciaires, y compris lorsqu’elle prend des décisions. Pour ce type d’opérations de traitement, la Cour devrait mettre en place un contrôle indépendant, conformément à l’article 8, paragraphe 3, de la Charte, par exemple au moyen d’un mécanisme interne.

(75)

Les décisions du Contrôleur européen de la protection des données ayant trait aux exceptions, garanties, autorisations et conditions relatives aux opérations de traitement de données, telles que définies dans le présent règlement, devraient être publiées dans le rapport d’activité. Indépendamment de la publication annuelle du rapport d’activité, le Contrôleur européen de la protection des données peut publier des rapports sur des sujets spécifiques.

(76)

Il convient que le Contrôleur européen de la protection des données agisse dans le respect du règlement (CE) no 1049/2001 du Parlement européen et du Conseil (9).

(77)

Les autorités de contrôle nationales surveillent l’application du règlement (UE) 2016/679 et contribuent à ce que cette application soit cohérente dans l’ensemble de l’Union, afin de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et de faciliter la libre circulation des données à caractère personnel dans le marché intérieur. Afin de rendre plus cohérente l’application des règles en matière de protection des données applicables dans les États membres et l’application des règles en matière de protection des données applicables aux institutions et organes de l’Union, le Contrôleur européen de la protection des données devrait coopérer efficacement avec les autorités de contrôle nationales.

(78)

Dans certains cas, le droit de l’Union prévoit un modèle de contrôle coordonné, partagé entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales. Le Contrôleur européen de la protection des données est également l’autorité de contrôle d’Europol et à ces fins, un modèle spécifique de coopération avec les autorités de contrôle nationales a été mis en place dans le cadre d’un comité de coopération exerçant une fonction consultative. Afin d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles matérielles relatives à la protection des données, un modèle unique et cohérent de contrôle coordonné devrait être introduit dans l’Union. La Commission devrait donc, s’il y a lieu, soumettre des propositions législatives visant à modifier les actes juridiques de l’Union qui organisent un modèle de contrôle coordonné afin de les aligner sur le modèle de contrôle coordonné prévu par le présent règlement. Le comité européen de la protection des données devrait servir de forum unique pour garantir un contrôle coordonné efficace dans tous les domaines.

(79)

Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données et disposer du droit à un recours juridictionnel effectif devant la Cour conformément aux traités si elle estime que les droits que lui confère le présent règlement sont violés ou si le Contrôleur européen de la protection des données ne donne pas à la suite de sa réclamation, la refuse ou la rejette, en tout ou en partie, ou s’il n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. L’enquête faisant suite à une réclamation devrait être menée, sous réserve d’un contrôle juridictionnel, dans la mesure appropriée au cas d’espèce. Le Contrôleur européen de la protection des données devrait informer la personne concernée de l’état d’avancement et du résultat de la réclamation dans un délai raisonnable. Si l’affaire exige de se coordonner davantage avec une autorité de contrôle nationale, des informations intermédiaires devraient être fournies à la personne concernée. Afin de faciliter l’introduction des réclamations, le Contrôleur européen de la protection des données devrait prendre des mesures telles que la mise à disposition d’un formulaire de réclamation qui peut être également rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

(80)

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement devrait avoir le droit d’obtenir la réparation du dommage subi auprès du responsable du traitement ou du sous-traitant, sous réserve des conditions prévues par les traités.

(81)

Afin de renforcer le rôle de contrôle du Contrôleur européen de la protection des données et la mise en œuvre effective du présent règlement, le Contrôleur européen de la protection des données devrait être habilité à imposer des amendes administratives en tant que sanction de dernier recours. Ces amendes devraient avoir pour objectif de sanctionner l’institution ou l’organe de l’Union — plutôt que des personnes — qui ne respecte pas le présent règlement, afin de dissuader toute violation future du présent règlement et de promouvoir une culture de la protection des données à caractère personnel au sein des institutions et organes de l’Union. Le présent règlement devrait indiquer les infractions soumises à des amendes administratives ainsi que les plafonds et critères pour fixer les amendes correspondantes. Le Contrôleur européen de la protection des données devrait déterminer le montant des amendes dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du présent règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsqu’il impose une amende administrative à une institution ou un organe de l’Union, le Contrôleur européen de la protection des données devrait veiller à la proportionnalité du montant de cette amende. La procédure administrative pour imposer des amendes aux institutions et organes de l’Union devrait respecter les principes généraux du droit de l’Union tels qu’ils sont interprétés par la Cour.

(82)

Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit de l’Union ou au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une réclamation en son nom auprès du Contrôleur européen de la protection des données. L’organisme, l’organisation ou l’association en question devrait également pouvoir exercer le droit à un recours juridictionnel au nom de personnes concernées ou exercer le droit d’obtenir réparation au nom de personnes concernées.

(83)

Un fonctionnaire ou autre agent de l’Union qui ne respecte pas les obligations lui incombant en vertu du présent règlement devrait être passible d’une action disciplinaire ou d’une autre action, conformément aux règles et procédures prévues dans le statut des fonctionnaires de l’Union européenne et dans le régime applicable aux autres agents de l’Union, fixés par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (10) (ci-après dénommé «statut»).

(84)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (11). Il y a lieu d’avoir recours à la procédure d’examen pour l’adoption de clauses contractuelles types entre les responsables du traitement et les sous-traitants ainsi qu’entre les sous-traitants, pour l’adoption d’une liste d’opérations de traitement qui requièrent la consultation préalable du Contrôleur européen de la protection des données par les responsables du traitement procédant à un traitement de données à caractère personnel dans le cadre de l’exécution d’une mission d’intérêt public, et pour l’adoption de clauses contractuelles types mettant en place des garanties appropriées pour les transferts internationaux.

(85)

Les informations confidentielles que les autorités statistiques de l’Union et des États membres recueillent pour élaborer des statistiques officielles européennes et nationales devraient être protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées conformément aux principes statistiques énoncés à l’article 338, paragraphe 2, du traité sur le fonctionnement de l’Union européenne. Le règlement (CE) no 223/2009 du Parlement européen et du Conseil (12) contient d’autres dispositions particulières relatives aux statistiques européennes couvertes par le secret.

(86)

Il convient d’abroger le règlement (CE) no 45/2001 et la décision no 1247/2002/CE du Parlement européen, du Conseil et de la Commission (13). Les références faites au règlement et à la décision abrogés devraient s’entendre comme faites au présent règlement.

(87)

Afin de garantir la parfaite indépendance des membres de l’autorité de contrôle indépendante, le présent règlement devrait rester sans effet sur le mandat de l’actuel Contrôleur européen de la protection des données et de l’actuel Contrôleur adjoint. Le Contrôleur adjoint actuel devrait exercer ses fonctions jusqu’à la fin de son mandat, à moins que l’une des conditions justifiant qu’il soit mis fin prématurément au mandat du Contrôleur européen de la protection des données, énoncées dans le présent règlement, ne soit remplie. Les dispositions pertinentes du présent règlement devraient s’appliquer au Contrôleur adjoint jusqu’à la fin de son mandat.

(88)

Conformément au principe de proportionnalité, il est nécessaire et approprié, afin de mettre en œuvre l’objectif fondamental consistant à garantir un niveau de protection des personnes physiques équivalent en ce qui concerne le traitement des données à caractère personnel et la libre circulation des données à caractère personnel dans l’ensemble de l’Union, de définir des règles relatives au traitement des données à caractère personnel dans les institutions et organes de l’Union. Le présent règlement n’excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis, conformément à l’article 5, paragraphe 4, du traité sur l’Union européenne.

(89)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001, et a rendu son avis le 15 mars 2017 (14),