CHAPITRE IV TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
Article 25
Principes
1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
3. Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
Article 26
Dérogations
1. Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être effectué, à condition que :
a) la personne concernée ait indubitablement donné son consentement au transfert envisagé
ou
b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers
oud) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice
ou
e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.
3. L’État membre informe la Commission et les autres États membres des autorisations qu’il accorde en application du paragraphe 2.
En cas d’opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l’article 31 paragraphe 2.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
CHAPITRE V CODES DE CONDUITE
Article 27
1. Les États membres et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive.
2. Les États membres prévoient que les associations professionnelles et les autres organisations représentant d’autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l’intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l’examen de l’autorité nationale.
Les États membres prévoient que cette autorité s’assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l’estime opportun, l’autorité recueille les observations des personnes concernées ou de leurs représentants.
3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l’article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S’il l’estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.
CHAPITRE VI AUTORITÉ DE CONTRÔLE ET GROUPE DE PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Article 28
Autorité de contrôle
1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.
3. Chaque autorité de contrôle dispose notamment :
– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,
– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,
– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.
Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.
4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.
Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.
5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.
6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.
7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.
Article 29
Groupe de protection des personnes à l’égard du traitement des données à caractère personnel
1. Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après dénommé « groupe ».
Le groupe a un caractère consultatif et indépendant.
2. Le groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.
Chaque membre du groupe est désigné par l’institution, l’autorité ou les autorités qu’il représente. Lorsqu’un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d’un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.
3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.
4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.
5. Le secrétariat du groupe est assuré par la Commission.
6. Le groupe établit son règlement intérieur.
7. Le groupe examine les questions mises à l’ordre du jour par son président, soit à l’initiative de celui-ci, soit à la demande d’un représentant des autorités de contrôle ou de la Commission.
Article 30
1. Le groupe a pour mission :
a) d’examiner toute question portant sur la mise en oeuvre des dispositions nationales prises en application de la présente directive, en vue de contribuer à leur mise en oeuvre homogène ;
b) de donner à la Commission un avis sur le niveau de protection dans la Communauté et dans les pays tiers ;
c) de conseiller la Commission sur tout projet de modification de la présente directive, sur tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertés ;
d) de donner un avis sur les codes de conduite élaborés au niveau communautaire.
2. Si le groupe constate que des divergences, susceptibles de porter atteinte à l’équivalence de la protection des personnes à l’égard du traitement des données à caractère personnel dans la Communauté, s’établissent entre les législations et pratiques des États membres, il en informe la Commission.
3. Le groupe peut émettre de sa propre initiative des recommandations sur toute question concernant la protection des personnes à l’égard du traitement de données à caractère personnel dans la Communauté.
4. Les avis et recommandations du groupe sont transmis à la Commission et au comité visé à l’article 31.
5. La Commission informe le groupe des suites qu’elle a données à ses avis et recommandations. Elle rédige à cet effet un rapport qui est transmis également au Parlement européen et au Conseil. Ce rapport est publié.
6. Le groupe établit un rapport annuel sur l’état de la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans la Communauté et dans les pays tiers, qu’il communique à la Commission, au Parlement européen et au Conseil. Ce rapport est publié.
CHAPITRE VII MESURES D’EXÉCUTION COMMUNAUTAIRES
Article 31
Comité
1. La Commission est assistée par un comité composé des représentants des États membres et présidé par le représentant de la Commission.
2. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l’urgence de la question en cause.
L’avis est émis à la majorité prévue à l’article 148 paragraphe 2 du traité. Lors des votes au sein du comité, les voix des représentants des États membres sont affectées de la pondération définie à l’article précité. Le président ne prend pas part au vote.
La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l’avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas :
– la Commission diffère l’application des mesures décidées par elle d’un délai de trois mois à compter de la date de la communication,
– le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.
DISPOSITIONS FINALES
Article 32
1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption.
Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2. Les États membres veillent à ce que les traitements dont la mise en oeuvre est antérieure à la date d’entrée en vigueur des dispositions nationales prises en application de la présente directive soient rendus conformes à ces dispositions au plus tard trois ans après cette date.
Par dérogation à l’alinéa précédent, les États membres peuvent prévoir que les traitements de données déjà contenues dans des fichiers manuels à la date d’entrée en vigueur des dispositions nationales prises en application de la présente directive seront rendus conformes aux articles 6, 7 et 8 de la présente directive dans un délai de douze ans à compter de la date d’adoption de celle-ci. Les États membres permettent toutefois à la personne concernée d’obtenir, à sa demande et notamment lors de l’exercice du droit d’accès, la rectification, l’effacement ou le verrouillage des données incomplètes, inexactes ou conservées d’une manière qui est incompatible avec les fins légitimes poursuivies par le responsable du traitement.
3. Par dérogation au paragraphe 2, les États membres peuvent prévoir, sous réserve des garanties appropriées, que les données conservées dans le seul but de la recherche historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la présente directive.
4. Les États membres communiquent à la Commission le texte des dispositions de droit interne qu’ils adoptent dans le domaine régi par la présente directive.
Article 33
Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l’article 32 paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l’application de la présente directive et l’assortit, le cas échéant, des propositions de modification appropriées. Ce rapport est publié.
La Commission examine, en particulier, l’application de la présente directive aux traitements de données constituées par des sons et des images, relatives aux personnes physiques, et elle présente les propositions appropriées qui pourraient s’avérer nécessaires en tenant compte des développements de la technologie de l’information et à la lumière de l’état des travaux sur la société de l’information.
Article 34
Les États membres sont destinataires de la présente directive.
Fait à Luxembourg, le 24 octobre 1995.
Par le Parlement européen
Le président
K. HAENSCH
Par le Conseil
Le président
L. ATIENZA SERNA
(1) JO n° C 277 du 5. 11. 1990, p. 3.
JO n° C 311 du 27. 11. 1992, p. 30.
(2) JO n° C 159 du 17. 6. 1991, p. 38.
(3) Avis du Parlement européen du 11 mars 1992 (JO n° C 94 du 13. 4. 1992, p. 198), confirmé le 2 décembre 1993 (JO n° C 342 du 20. 12. 1993, p. 30) ; position commune du Conseil du 20 février 1995 (JO n° C 93 du 13. 4. 1995, p. 1) et décision du Parlement européen du 15 juin 1995 (JO n° C 166 du 3. 7. 1995).
(Suite de IV et fin)
CHAPITRE IV TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS
Article 25
Principes
1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
3. Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
Article 26
Dérogations
1. Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être effectué, à condition que :
a) la personne concernée ait indubitablement donné son consentement au transfert envisagé
ou
b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers
oud) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice
ou
e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.
2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.
3. L’État membre informe la Commission et les autres États membres des autorisations qu’il accorde en application du paragraphe 2.
En cas d’opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l’article 31 paragraphe 2.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
CHAPITRE V CODES DE CONDUITE
Article 27
1. Les États membres et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive.
2. Les États membres prévoient que les associations professionnelles et les autres organisations représentant d’autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l’intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l’examen de l’autorité nationale.
Les États membres prévoient que cette autorité s’assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l’estime opportun, l’autorité recueille les observations des personnes concernées ou de leurs représentants.
3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l’article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S’il l’estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.
CHAPITRE VI AUTORITÉ DE CONTRÔLE ET GROUPE DE PROTECTION DES PERSONNES À L’ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Article 28
Autorité de contrôle
1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.
3. Chaque autorité de contrôle dispose notamment :
– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,
– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,
– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.
Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.
4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.
Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.
5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.
6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.
7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.
Article 29
Groupe de protection des personnes à l’égard du traitement des données à caractère personnel
1. Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après dénommé « groupe ».
Le groupe a un caractère consultatif et indépendant.
2. Le groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.
Chaque membre du groupe est désigné par l’institution, l’autorité ou les autorités qu’il représente. Lorsqu’un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d’un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.
3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.
4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.
5. Le secrétariat du groupe est assuré par la Commission.
6. Le groupe établit son règlement intérieur.
7. Le groupe examine les questions mises à l’ordre du jour par son président, soit à l’initiative de celui-ci, soit à la demande d’un représentant des autorités de contrôle ou de la Commission.
Article 30
1. Le groupe a pour mission :
a) d’examiner toute question portant sur la mise en oeuvre des dispositions nationales prises en application de la présente directive, en vue de contribuer à leur mise en oeuvre homogène ;
b) de donner à la Commission un avis sur le niveau de protection dans la Communauté et dans les pays tiers ;
c) de conseiller la Commission sur tout projet de modification de la présente directive, sur tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertés ;
d) de donner un avis sur les codes de conduite élaborés au niveau communautaire.
2. Si le groupe constate que des divergences, susceptibles de porter atteinte à l’équivalence de la protection des personnes à l’égard du traitement des données à caractère personnel dans la Communauté, s’établissent entre les législations et pratiques des États membres, il en informe la Commission.
3. Le groupe peut émettre de sa propre initiative des recommandations sur toute question concernant la protection des personnes à l’égard du traitement de données à caractère personnel dans la Communauté.
4. Les avis et recommandations du groupe sont transmis à la Commission et au comité visé à l’article 31.
5. La Commission informe le groupe des suites qu’elle a données à ses avis et recommandations. Elle rédige à cet effet un rapport qui est transmis également au Parlement européen et au Conseil. Ce rapport est publié.
6. Le groupe établit un rapport annuel sur l’état de la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans la Communauté et dans les pays tiers, qu’il communique à la Commission, au Parlement européen et au Conseil. Ce rapport est publié.
CHAPITRE VII MESURES D’EXÉCUTION COMMUNAUTAIRES
Article 31
Comité
1. La Commission est assistée par un comité composé des représentants des États membres et présidé par le représentant de la Commission.
2. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l’urgence de la question en cause.
L’avis est émis à la majorité prévue à l’article 148 paragraphe 2 du traité. Lors des votes au sein du comité, les voix des représentants des États membres sont affectées de la pondération définie à l’article précité. Le président ne prend pas part au vote.
La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l’avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas :
– la Commission diffère l’application des mesures décidées par elle d’un délai de trois mois à compter de la date de la communication,
– le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.
DISPOSITIONS FINALES
Article 32
1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard à l’issue d’une période de trois ans à compter de son adoption.
Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2. Les États membres veillent à ce que les traitements dont la mise en oeuvre est antérieure à la date d’entrée en vigueur des dispositions nationales prises en application de la présente directive soient rendus conformes à ces dispositions au plus tard trois ans après cette date.
Par dérogation à l’alinéa précédent, les États membres peuvent prévoir que les traitements de données déjà contenues dans des fichiers manuels à la date d’entrée en vigueur des dispositions nationales prises en application de la présente directive seront rendus conformes aux articles 6, 7 et 8 de la présente directive dans un délai de douze ans à compter de la date d’adoption de celle-ci. Les États membres permettent toutefois à la personne concernée d’obtenir, à sa demande et notamment lors de l’exercice du droit d’accès, la rectification, l’effacement ou le verrouillage des données incomplètes, inexactes ou conservées d’une manière qui est incompatible avec les fins légitimes poursuivies par le responsable du traitement.
3. Par dérogation au paragraphe 2, les États membres peuvent prévoir, sous réserve des garanties appropriées, que les données conservées dans le seul but de la recherche historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la présente directive.
4. Les États membres communiquent à la Commission le texte des dispositions de droit interne qu’ils adoptent dans le domaine régi par la présente directive.
Article 33
Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l’article 32 paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l’application de la présente directive et l’assortit, le cas échéant, des propositions de modification appropriées. Ce rapport est publié.
La Commission examine, en particulier, l’application de la présente directive aux traitements de données constituées par des sons et des images, relatives aux personnes physiques, et elle présente les propositions appropriées qui pourraient s’avérer nécessaires en tenant compte des développements de la technologie de l’information et à la lumière de l’état des travaux sur la société de l’information.
Article 34
Les États membres sont destinataires de la présente directive.
Fait à Luxembourg, le 24 octobre 1995.
Par le Parlement européen
Le président
K. HAENSCH
Par le Conseil
Le président
L. ATIENZA SERNA
(1) JO n° C 277 du 5. 11. 1990, p. 3.
JO n° C 311 du 27. 11. 1992, p. 30.
(2) JO n° C 159 du 17. 6. 1991, p. 38.
(3) Avis du Parlement européen du 11 mars 1992 (JO n° C 94 du 13. 4. 1992, p. 198), confirmé le 2 décembre 1993 (JO n° C 342 du 20. 12. 1993, p. 30) ; position commune du Conseil du 20 février 1995 (JO n° C 93 du 13. 4. 1995, p. 1) et décision du Parlement européen du 15 juin 1995 (JO n° C 166 du 3. 7. 1995).
(1) JO n° L 197 du 18. 7. 1987, p. 33.