6. Domaines ou risques connexes 6.4. Risques de la vie courante Protection des consommateurs et sécurité des produits Généralités

Règlement d’exécution (UE) 2024/2639 de la Commission du 9 octobre 2024 portant modalités d’application du règlement (UE) 2023/988 du Parlement européen et du Conseil en ce qui concerne les rôles et les tâches des points de contact nationaux uniques du système d’alerte rapide Safety Gate

LA COMMISSION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne,
• vu le règlement (UE) 2023/988 du Parlement européen et du Conseil du 10 mai 2023 relatif à la sécurité générale des produits, modifiant le règlement (UE) n°1025/2012 du Parlement européen et du Conseil et la directive (UE) 2020/1828 du Parlement européen et du Conseil, et abrogeant la directive 2001/95/CE du Parlement européen et du Conseil et la directive 87/357/CEE du Conseil (1), et notamment son article 25, paragraphe 2, deuxième alinéa,

considérant ce qui suit:

(1) Le règlement (UE) 2023/988 prévoit que le système d’alerte rapide Safety Gate constitue le système d’alerte rapide pour l’échange d’informations sur les mesures correctives concernant les produits dangereux. Afin d’assurer une circulation efficace de l’information et le bon fonctionnement du système d’alerte rapide Safety Gate, chaque État membre doit, en vertu de l’article 25, paragraphe 2, premier alinéa, du règlement (UE) 2023/988, désigner un point de contact national unique pour le système d’alerte rapide Safety Gate (ci-après le «point de contact Safety Gate»). En vertu de l’article 25, paragraphe 2, premier alinéa, du règlement (UE) 2023/988, le point de contact Safety Gate est chargé au moins de vérifier l’exhaustivité des notifications soumises à la Commission pour validation et de communiquer avec la Commission en ce qui concerne les tâches prévues à l’article 26, paragraphes 1 à 6, dudit règlement. La désignation des points de contact nationaux Safety Gate devrait être sans préjudice de la compétence des États membres à organiser leur système de surveillance du marché.

(2) La décision d’exécution (UE) 2019/417 de la Commission (2) a fixé les lignes directrices pour la gestion du système d’échange rapide d’informations de l’Union européenne (RAPEX) établi en vertu de la directive 2001/95/CE du Parlement européen et du Conseil (3) abrogée. Cette décision d’exécution prévoyait les tâches incombant aux points de contact nationaux RAPEX, qui consistent notamment à organiser et à encadrer le travail des autorités nationales compétentes, à faire en sorte que toutes les tâches soient réalisées correctement et en particulier que toutes les informations requises soient communiquées sans délai à la Commission, et à coordonner toutes les activités et les initiatives nationales liées à RAPEX. Compte tenu du bon fonctionnement des points de contact nationaux RAPEX, les rôles et les tâches des points de contact Safety Gate doivent comprendre, dans la mesure du possible, les rôles et les tâches établis dans la décision d’exécution (UE) 2019/417.

(3) Afin d’assurer une circulation efficace de l’information entre le point de contact Safety Gate et les différentes autorités qui participent au système d’alerte rapide Safety Gate dans un État membre donné, il convient que le point de contact Safety Gate organise et encadre les travaux de son réseau d’autorités nationales chargées du système d’alerte rapide Safety Gate (ci-après le «réseau national Safety Gate»).

(4) Conformément aux tâches qui leur incombent en vertu de la décision d’exécution (UE) 2019/417 et afin de garantir l’utilisation efficace du système d’alerte rapide Safety Gate et la cohérence des informations communiquées, il convient que les points de contact Safety Gate forment les autorités nationales à l’utilisation du système et aident ces dernières à se servir de ce système.

(5) Afin d’éviter la duplication des notifications dans le système d’alerte rapide Safety Gate, avant l’envoi d’une notification, les points de contact Safety Gate doivent vérifier si une mesure relative au produit a déjà fait l’objet d’une notification dans le système d’alerte rapide Safety Gate, avec le concours des autorités nationales, le cas échéant.

(6) L’outil «eSurveillance — Sécurité des produits» (Product Safety eSurveillance Webcrawler), une application informatique développée et gérée par la Commission, vise à détecter les produits ayant fait l’objet d’une notification dans le système d’alerte rapide Safety Gate et qui sont toujours vendus ou qui réapparaissent dans des boutiques et des places de marché en ligne. Afin d’améliorer l’efficacité de la surveillance du marché en ligne, il convient de promouvoir largement son utilisation, ainsi que celle d’autres outils similaires utilisés par les autorités, le cas échéant.

(7) La Commission et les autorités nationales agissent en tant que responsables conjoints du traitement des données dans le cadre du système d’alerte rapide Safety Gate, conformément à l’article 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et à l’article 28 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (5). Il convient dès lors de préciser les rôles et les responsabilités de chaque responsable conjoint du traitement.

(8) Il convient que le présent règlement s’applique à partir de la même date que le règlement (UE) 2023/988.

(9) Les mesures prévues par le présent règlement sont conformes à l’avis du comité sur le règlement relatif à la sécurité générale des produits institué en vertu de l’article 46, paragraphe 1, du règlement (UE) 2023/988,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Les rôles et les tâches des points de contact nationaux uniques au titre de l’article 25, paragraphe 2, du règlement (UE) 2023/988 («points de contact Safety Gate») consistent à:

• a) vérifier et valider l’exhaustivité de la notification reçue d’autres autorités nationales de leur État membre avant son envoi à la Commission au moyen du système d’alerte rapide Safety Gate, conformément à l’article 25, paragraphe 2, premier alinéa, du règlement (UE) 2023/988;
• b) vérifier, avant de transmettre une notification au moyen du système d’alerte rapide Safety Gate, si un produit faisant l’objet de cette notification a déjà été notifié dans ce système et, si tel est le cas, s’il y a lieu, en coopération avec l’autorité nationale compétente, à soumettre une notification complémentaire conformément à l’article 26, paragraphe 7, du règlement (UE) 2023/988;
• c) veiller à ce que les notifications d’autres États membres qui ont été validées par la Commission dans le système d’alerte rapide Safety Gate parviennent aux autorités nationales compétentes de leur État membre, y compris aux autorités responsables du contrôle des frontières extérieures, afin d’assurer un suivi approprié au niveau national;
• d) promouvoir l’utilisation de l’outil «eSurveillance — Sécurité des produits» et, le cas échéant, d’autres outils similaires, dans l’État membre concerné, et en particulier le suivi des résultats pertinents de cet outil par les autorités nationales;
• e) former l’ensemble des autorités nationales à l’utilisation du système d’alerte rapide Safety Gate et à aider ces mêmes autorités à se servir de ce système;
• f) faire en sorte que, dans chaque État membre, les tâches liées au système d’alerte rapide Safety Gate découlant du règlement (UE) 2023/988 et du règlement délégué de la Commission du 27 août 2024complétant le règlement (UE) 2023/988 du Parlement européen et du Conseil en ce qui concerne les règles relatives à l’accès au système d’alerte rapide Safety Gate, à son fonctionnement, aux informations à y introduire, aux exigences de notifications et aux critères d’évaluation du niveau de risque(6)soient réalisées et, en particulier, que toutes les informations requises soient communiquées à la Commission conformément au règlement (UE) 2023/988;
• g) coopérer et échanger des informations pertinentes pour la sécurité des produits avec d’autres points de contact Safety Gate et à participer aux discussions entre les points de contact Safety Gate coordonnées par la Commission;
• h) échanger des informations pertinentes pour la sécurité des produits au niveau national avec l’autorité membre du réseau pour la sécurité des consommateurs visé à l’article 30 du règlement (UE) 2023/988, lorsqu’il s’agit d’une autorité autre que le point de contact Safety Gate;
• i) échanger des informations pertinentes pour la sécurité des produits au niveau national avec le bureau de liaison unique désigné en vertu de l’article 10 du règlement (UE) 2019/1020 du Parlement européen et du Conseil(7)et de l’article 23, paragraphe 1, du règlement (UE) 2023/988, lorsqu’il s’agit d’une autorité autre que le point de contact Safety Gate;
• j) informer immédiatement la Commission de tout problème technique dans le fonctionnement du système d’alerte rapide Safety Gate;
• k) gérer les demandes d’accès aux applications liées au système d’alerte rapide Safety Gate émanant des utilisateurs de leur réseau national Safety Gate et à informer la Commission de tout changement de personnel ayant une incidence sur les droits d’accès;
• l) répondre aux demandes relatives au fonctionnement du système d’alerte rapide Safety Gate émanant des parties prenantes au sein de chaque État membre, y compris les opérateurs économiques et les fournisseurs de places de marché en ligne;
• m) se concerter, le cas échéant, avec les autorités dans leur État membre qui ont transmis la notification pertinente du système d’alerte rapide Safety Gate, concernant toute information supplémentaire qu’il pourrait être envisagé d’ajouter à cette notification à la demande d’opérateurs économiques ou de fournisseurs de places de marché en ligne, en particulier lorsque ces entreprises peuvent être lésées par le caractère incomplet d’une notification dans le système d’alerte rapide Safety Gate.

Article 2

La Commission et les autorités nationales agissant en tant que responsables conjoints du traitement des données dans le cadre du système d’alerte rapide Safety Gate conformément à l’article 26 du règlement (UE) 2016/679 et à l’article 28 du règlement (UE) 2018/1725, assument les rôles et responsabilités énoncés à l’annexe du présent règlement.

Article 3

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir du 13 décembre 2024.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 9 octobre 2024.

Par la Commission
La présidente
Ursula VON DER LEYEN
              
(1) JO L 135 du 23.5.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/988/oj.
(2) Décision d’exécution (UE) 2019/417 de la Commission du 8 novembre 2018 fixant les lignes directrices pour la gestion du système d’échange rapide d’informations de l’Union européenne, «RAPEX», établi par l’article 12 de la directive 2001/95/CE relative à la sécurité générale des produits ainsi que de son système de notification (JO L 73 du 15.3.2019, p. 121, ELI: http://data.europa.eu/eli/ dec/2019/417/oj).
(3) Directive 2001/95/CE du Parlement européen et du Conseil du 3 décembre 2001 relative à la sécurité générale des produits (JO L 11 du 15.1.2002, p. 4, ELI: http://data.europa.eu/eli/dir/2001/95/oj).
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(6) Non encore paru au Journal officiel.
(7) Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) n°765/2008 et (UE) n°305/2011 (JO L 169 du 25.6.2019, p. 1, ELI: http://data.europa.eu/eli/reg/2019/1020/oj).

ANNEXE

RESPONSABILITÉ CONJOINTE EXERCÉE DANS LE CADRE DU SYSTÈME D’ALERTE RAPIDE SAFETY GATE

1. OBJET ET DESCRIPTION DU TRAITEMENT

Le système d’alerte rapide Safety Gate est un système de notification exploité par la Commission et destiné à l’échange rapide d’informations entre les autorités nationales des États membres, les trois États de l’Espace économique européen qui sont aussi membres de l’Association européenne de libre-échange (EEE/AELE) (Islande, Liechtenstein et Norvège) et la Commission sur les mesures prises à l’égard des produits dangereux présents sur le marché de l’Union et/ou de l’EEE/AELE.

Le système d’alerte rapide Safety Gate vise à permettre l’échange rapide d’informations sur les mesures correctives prises dans l’ensemble de l’Union qui se rapportent à des produits présentant un risque.

L’échange d’informations concerne les mesures correctives qui se rapportent à des produits de consommation et des produits professionnels dangereux relevant du champ d’application des règlements (UE) 2023/988 ou (UE) 2019/1020.

Le système d’alerte rapide Safety Gate couvre les mesures ordonnées par les autorités nationales ainsi que les mesures prises volontairement par des opérateurs économiques.

2. PORTÉE DE LA RESPONSABILITÉ CONJOINTE

La Commission et les autorités nationales agissent en tant que responsables conjoints du traitement des données (ci-après les «responsables conjoints du traitement») dans le cadre du système d’alerte rapide Safety Gate. Par «autorités nationales», on entend toutes les autorités des États membres et/ou des pays de l’AELE/EEE qui interviennent dans le domaine de la sécurité des produits et participent au réseau de points de contact Safety Gate de l’Union, y compris les autorités de surveillance du marché chargées de contrôler la conformité des produits avec les exigences de sécurité et les autorités responsables du contrôle des frontières extérieures.

Aux fins de l’article 26 du règlement (UE) 2016/679 et de l’article 28 du règlement (UE) 2018/1725, les activités de traitement suivantes relèvent de la responsabilité de la Commission en tant que responsable conjointe du traitement des données à caractère personnel:

• 1) le traitement, par la Commission, d’informations relatives aux mesures prises à l’égard des produits qui présentent des risques graves et qui sont importés dans l’Union et dans l’Espace économique européen ou exportés à partir de ceux-ci, afin de les transmettre aux points de contact nationaux uniques du système d’alerte rapide Safety Gate (ci-après les «points de contact Safety Gate»);
• 2) le traitement, par la Commission, d’informations reçues de pays tiers, d’organisations internationales, d’entreprises ou d’autres systèmes d’alerte rapide concernant des produits en provenance de l’Union ou de pays tiers qui présentent un risque pour la santé et la sécurité des consommateurs afin de les transmettre aux autorités nationales.

Dans l’exercice de ces activités, la Commission veille au respect des obligations et des conditions applicables du règlement (UE) 2018/1725.

Les activités de traitement suivantes relèvent de la responsabilité des autorités nationales, en tant que responsables conjoints du traitement des données à caractère personnel:

• 1) le traitement, par les autorités nationales, d’informations, conformément à l’article 26 du règlement (UE) 2023/988 relatif à la sécurité générale des produits et à l’article 20 du règlement (UE) 2019/1020, afin de notifier ces informations à la Commission, aux autres États membres et aux pays de l’AELE/EEE;
• 2) le traitement, par les autorités nationales, d’informations résultant de mesures de suivi qu’elles ont prises en rapport avec des notifications du système d’alerte rapide Safety Gate afin de notifier ces informations à la Commission, aux autres États membres et aux pays de l’AELE/EEE.

Dans l’exercice de ces activités, les autorités nationales veillent au respect des obligations et des conditions applicables du règlement (UE) 2016/679.

3. RESPONSABILITÉS, RÔLES ET RELATIONS DES RESPONSABLES CONJOINTS DU TRAITEMENT À L’ÉGARD DES PERSONNES CONCERNÉES

3.1. Catégories de personnes concernées et de données à caractère personnel

Les responsables conjoints du traitement traitent conjointement les catégories suivantes de données à caractère personnel:

• a) Coordonnées des utilisateurs du système d’alerte rapide Safety Gate:
  • Les données suivantes peuvent être traitées:
    • nom des utilisateurs du système d’alerte rapide Safety Gate,
    • prénom des utilisateurs du système d’alerte rapide Safety Gate,
    • adresse électronique des utilisateurs du système d’alerte rapide Safety Gate,
    • pays des utilisateurs du système d’alerte rapide Safety Gate,
    • langue habituelle des utilisateurs du système d’alerte rapide Safety Gate.
• b) Coordonnées des auteurs et des validateurs des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate:
  • Parmi ces auteurs et validateurs figurent:
    • les points de contact Safety Gate et les inspecteurs des autorités de surveillance du marché des États membres et des pays de l’AELE/EEE ou des autorités nationales chargées des contrôles aux frontières extérieures qui participent à la procédure de notification,
    • le personnel de la Commission, notamment les fonctionnaires, les agents temporaires, les agents contractuels et les stagiaires, ainsi que les prestataires de services externes.
  • Les données suivantes peuvent être traitées:
    • nom des auteurs et des validateurs des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate,
    • prénom des auteurs et des validateurs des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate,
    • nom de l’autorité à l’origine des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate ou chargée de leur validation,
    • adresse de l’autorité à l’origine des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate ou chargée de leur validation,
    • adresse électronique des auteurs ou des validateurs des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate,
    • numéro de téléphone des auteurs et des validateurs des notifications et des réactions communiquées par l’intermédiaire du système d’alerte rapide Safety Gate.
• c) Deux types de données à caractère personnel supplémentaires peuvent être inclus accessoirement dans le système:
  • i) Lorsqu’il est nécessaire de tracer les produits dangereux tels que définis à l’article 3, paragraphe 3, du règlement (UE) 2023/988, les coordonnées des opérateurs économiques peuvent comprendre des données à caractère personnel qui seront introduites dans le système d’alerte rapide Safety Gate. Ces données ne peuvent être introduites dans le système d’alerte rapide Safety Gate que par les autorités nationales, sur la base des informations collectées pendant leur enquête. Les données suivantes peuvent être traitées:
    • nom des opérateurs économiques,
    • adresse des opérateurs économiques,
    • ville des opérateurs économiques,
    • pays des opérateurs économiques,
    • coordonnées des opérateurs économiques(1),
    • coordonnées des opérateurs économiques.
  • ii) Lorsqu’ils ont été inclus accessoirement dans d’autres documents, tels que des rapports d’essai, les noms des personnes ayant procédé à des essais sur des produits dangereux et/ou authentifié les rapports d’essai.

3.2. Communication d’informations aux personnes concernées

La Commission fournit les informations visées aux articles 15 et 16 et procède à toute communication au titre des articles 17 à 24 et de l’article 35 du règlement (UE) 2018/1725 d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Elle prend également les mesures appropriées pour aider les autorités nationales à fournir toute information visée aux articles 13 et 14 et à procéder à toute communication au titre des articles 19 à 26 et de l’article 37 du règlement (UE) 2016/679 d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, pour les données suivantes:

• données concernant les utilisateurs du système d’alerte rapide Safety Gate,
• données relatives aux auteurs et aux validateurs des notifications et des réactions.

Les utilisateurs du système d’alerte rapide Safety Gate sont informés de leurs droits au moyen de la déclaration de confidentialité disponible dans le système d’alerte rapide Safety Gate.

Les autorités nationales prennent les mesures appropriées pour fournir toute information visée aux articles 13 et 14 et pour procéder à toute communication au titre des articles 19 à 26 et de l’article 37 du règlement (UE) 2016/679 d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, pour les données suivantes:

• informations sur des personnes morales permettant d’identifier une personne physique,
• noms des personnes ayant procédé à des essais sur des produits dangereux et/ou authentifié les rapports d’essais et autres données les concernant.

Les informations doivent être fournies par écrit, y compris par voie électronique.

Les autorités nationales utilisent le modèle de déclaration de confidentialité fourni par la Commission pour se conformer à leurs obligations à l’égard des personnes concernées.

3.3. Traitement des demandes présentées par les personnes concernées

Les personnes concernées peuvent exercer les droits que leur confèrent respectivement le règlement (UE) 2018/1725 et le règlement (UE) 2016/679 à l’encontre de la Commission ou des autorités nationales agissant en tant que responsables conjoints du traitement.

Les responsables conjoints du traitement traitent les demandes des personnes concernées conformément à la procédure qu’ils ont établie à cette fin. La procédure détaillée applicable à l’exercice des droits des personnes concernées est expliquée dans la déclaration de confidentialité.

Les responsables conjoints du traitement coopèrent et, sur demande, se prêtent mutuellement l’assistance rapide et efficace nécessaire pour traiter les demandes des personnes concernées.

Si un responsable conjoint du traitement reçoit une demande de personne concernée, qui ne relève pas de sa responsabilité, il la transmet rapidement, et au plus tard dans un délai de sept jours calendaires à compter de sa réception, au responsable conjoint du traitement effectivement responsable de cette demande. Ce dernier envoie un accusé de réception à la personne concernée dans un délai de trois jours calendaires supplémentaires suivant la réception de la demande transmise et en informe simultanément le responsable conjoint du traitement qui a reçu la demande en premier lieu.

En réponse à une demande d’accès à des données à caractère personnel présentée par une personne concernée, aucun responsable conjoint du traitement ne divulgue ni ne met à disposition d’une quelconque autre manière des données à caractère personnel traitées conjointement sans consulter au préalable l’autre responsable conjoint du traitement.

4. AUTRES RESPONSABILITÉS ET RÔLES DES RESPONSABLES CONJOINTS DU TRAITEMENT

4.1. Sécurité du traitement
Chaque responsable conjoint du traitement met en oeuvre des mesures techniques et organisationnelles appropriées, destinées à:

• a) garantir et protéger la sécurité, l’intégrité et la confidentialité des données à caractère personnel traitées de manière conjointe, conformément à la décision (UE, Euratom) 2017/46 de la Commission(2)et à l’acte juridique pertinent de l’État membre de l’Union ou du pays de l’AELE/de l’EEE, respectivement;
• b) se prémunir contre le traitement, la perte, l’utilisation, la divulgation, l’acquisition non autorisés ou illégaux de toute donnée à caractère personnel en sa possession ou contre l’accès non autorisé ou illégal à ces données;
• c) empêcher que les données à caractère personnel soient divulguées ou rendues accessibles à toute personne autre que les destinataires ou les sous-traitants désignés au préalable.

Chaque responsable conjoint du traitement met en oeuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement conformément à l’article 33 du règlement (UE) 2018/1725 et à l’article 32 du règlement (UE) 2016/679, respectivement.

Les responsables conjoints du traitement se prêtent mutuellement une assistance rapide et efficace en cas d’incident de sécurité ou de violation de données à caractère personnel.

4.2. Gestion des incidents de sécurité, notamment des violations de données à caractère personnel

Les responsables conjoints du traitement gèrent les incidents de sécurité, y compris les violations de données à caractère personnel, conformément à leurs procédures internes et au droit applicable.

Ils se prêtent mutuellement l’assistance rapide et efficace nécessaire pour faciliter la détection et le traitement de tout incident de sécurité, y compris de toute violation de données à caractère personnel, lié au traitement conjoint.

Les responsables conjoints du traitement se notifient les éléments suivants:

• a) tout risque potentiel ou réel pour la disponibilité, la confidentialité et/ou l’intégrité des données à caractère personnel faisant l’objet d’un traitement conjoint;
• b) tout incident de sécurité lié à l’opération de traitement conjoint;
• c) toute violation de données à caractère personnel (c’est-à-dire toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel faisant l’objet d’un traitement conjoint ou l’accès non autorisé à de telles données), les conséquences probables de la violation de données à caractère personnel, l’évaluation du risque pour les droits et libertés des personnes physiques et toute mesure prise pour remédier à la violation de données à caractère personnel et atténuer le risque pour les droits et libertés des personnes physiques;
• d) toute atteinte aux garanties techniques et/ou organisationnelles de l’opération de traitement conjoint.

Chaque responsable conjoint du traitement est en charge de tous les incidents de sécurité, y compris les violations de données à caractère personnel, qui résultent d’une violation des obligations lui incombant en vertu du présent règlement d’exécution et, respectivement, du règlement (UE) 2018/1725 et du règlement (UE) 2016/679.

Les responsables conjoints du traitement documentent les incidents de sécurité (y compris les violations de données à caractère personnel) et se tiennent mutuellement informés, sans retard injustifié et au plus tard dans les 48 heures après avoir eu connaissance d’un incident de sécurité (y compris une violation de données à caractère personnel).

Le responsable conjoint du traitement en charge d’une violation de données à caractère personnel documente cette violation et la notifie au Contrôleur européen de la protection des données ou à l’autorité de contrôle nationale compétente. Il le fait dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance, sauf s’il est peu probable que la violation de données à caractère personnel entraîne un risque pour les droits et libertés des personnes physiques. Le responsable conjoint du traitement informe l’autre responsable conjoint du traitement de cette notification.

Le responsable conjoint du traitement en charge de la violation des données à caractère personnel communique cette violation aux personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Le responsable conjoint du traitement informe l’autre responsable conjoint du traitement de cette communication.

4.3. Localisation des données à caractère personnel

Les données à caractère personnel collectées aux fins du processus de notification au moyen du système d’alerte rapide Safety Gate sont stockées et collectées dans le système d’alerte rapide Safety Gate afin de garantir que l’accès à l’application est limité à des personnes clairement identifiées et que les données stockées dans l’application sont ainsi bien protégées.

Les données à caractère personnel collectées aux fins de l’opération de traitement ne sont traitées que sur le territoire de l’UE/l’EEE et ne quittent pas ce territoire, sauf si elles sont conformes aux articles 45, 46 ou 49 du règlement (UE) 2016/679 ou aux articles 47, 48 ou 50 du règlement (UE) 2018/1725.

En vertu de l’article 40 du règlement (UE) 2023/988, la Commission peut fournir aux pays tiers ou aux organisations internationales certaines informations issues du système d’alerte rapide Safety Gate et recevoir des informations pertinentes sur la sécurité des produits et sur les mesures préventives, restrictives et correctives prises par ces pays tiers ou organisations internationales. Tout échange d’informations en vertu dudit article est effectué, dans la mesure où il porte sur des données à caractère personnel, dans le respect des règles de l’Union en matière de protection des données.

4.4. Destinataires de données à caractère personnel

Seuls le personnel autorisé et les contractants de la Commission et des autorités nationales ont accès aux données à caractère personnel aux fins de la gestion et de l’exploitation du système d’alerte rapide Safety Gate. Un identifiant et un mot de passe sont requis pour accéder aux données. L’accès au système se fait selon les modalités suivantes:

• seuls la Commission et les utilisateurs spécifiquement désignés par les autorités des États membres de l’UE et par les autorités des pays de l’AELE/l’EEE, ainsi que les autorités britanniques en ce qui concerne les utilisateurs d’Irlande du Nord, peuvent utiliser le système d’alerte rapide Safety Gate,
• seuls les utilisateurs désignés et autorisés de l’application qui disposent d’un identifiant/mot de passe ont accès aux données à caractère personnel collectées sur le système d’alerte rapide Safety Gate; l’accès à l’application et l’octroi d’un mot de passe ne sont possibles que si l’autorité nationale compétente en fait la demande, sous le contrôle général de l’équipe Safety Gate de la Commission,
• l’accès aux données à caractère personnel collectées est octroyé au personnel de la Commission chargé de la réalisation de cette opération de traitement ainsi qu’aux personnes autorisées selon le principe du «besoin d’en connaître». Ces personnes respectent les conventions réglementaires et, le cas échéant, des règles de confidentialité supplémentaires.

Les personnes ayant accès aux données à caractère personnel collectées sont:

• a) le personnel et les contractants de la Commission;
• b) les points de contact et les inspecteurs identifiés des autorités de surveillance du marché des États membres de l’UE et des pays de l’AELE/l’EEE, et des autorités britanniques en ce qui concerne les utilisateurs de l’Irlande du Nord;
• c) les inspecteurs identifiés des autorités des États membres de l’UE et des pays de l’AELE/EEE responsables du contrôle des frontières extérieures.

Les personnes ayant accès à l’ensemble des données à caractère personnel collectées et pouvant les modifier sur demande sont:

• a) les membres de l’équipe Safety Gate la Commission;
• b) les membres du service d’assistance Safety Gate de la Commission.

Une liste de tous les points de contact Safety Gate, reprenant leurs coordonnées (nom, prénom, nom de l’autorité, adresse de l’autorité, téléphone, adresse électronique) est disponible sur le portail Safety Gate(3). La gestion des utilisateurs au niveau national est contrôlée par les points de contact nationaux Safety Gate par l’intermédiaire du système d’alerte rapide Safety Gate.

Tous les utilisateurs ont accès au contenu des notifications ayant le statut «EC validated». Seuls les utilisateurs nationaux du système d’alerte rapide Safety Gate ont accès à leurs projets de notification (avant de les envoyer à la Commission). Le personnel de la Commission et les personnes autorisées ont accès aux notifications ayant le statut «EC submitted».

Chaque responsable conjoint du traitement informe tous les autres responsables conjoints du traitement de tout transfert de données à caractère personnel vers des destinataires dans des pays tiers ou des organisations internationales.

5. RESPONSABILITÉS SPÉCIFIQUES DES RESPONSABLES CONJOINTS DU TRAITEMENT

La Commission est chargée et responsable des éléments suivants:

• a) les décisions sur les moyens, les exigences et les finalités du traitement;
• b) l’enregistrement de l’opération de traitement;
• c) la facilitation de l’exercice des droits des personnes concernées;
• d) le traitement des demandes soumises par les personnes concernées;
• e) les décisions de limiter l’application des droits des personnes concernées ou de déroger à ces droits, lorsque cela est nécessaire et proportionné;
• f) l’assurance de la protection de la vie privée dès la conception et par défaut;
• g) la détermination et l’appréciation de la légalité, de la nécessité et de la proportionnalité des transmissions et des transferts de données à caractère personnel;
• h) la consultation préalable du Contrôleur européen de la protection des données, si nécessaire;
• i) l’assurance que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité;
• j) la coopération avec le Contrôleur européen de la protection des données, à sa demande, dans l’exercice de ses fonctions.

Les autorités nationales sont chargées et responsables des éléments suivants:

• a) l’enregistrement de l’opération de traitement;
• b) l’adéquation, l’exactitude et la pertinence des données à caractère personnel faisant l’objet du traitement, et la limitation de leur utilisation à ce qui est nécessaire à la réalisation de la finalité;
• c) la transparence de l’information et de la communication aux personnes concernées quant à leurs droits;
• d) la facilitation de l’exercice des droits des personnes concernées;
• e) le recours aux seuls sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de façon que le traitement réponde aux exigences du règlement (UE) 2016/679 et garantisse la protection des droits de la personne concernée;
• f) l’établissement d’un contrat ou d’un acte juridique au titre du droit de l’Union ou du droit d’un État membre, conformément à l’article 28 du règlement (UE) 2016/679, pour régir le traitement;
• g) la consultation préalable des autorités de contrôle nationales, si nécessaire;
• h) l’assurance que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité;
• i) la coopération avec les autorités de contrôle nationales, à la demande de celles-ci, dans l’exécution de leurs missions.

6. DURÉE DU TRAITEMENT

Les responsables conjoints du traitement ne conservent ni ne traitent des données à caractère personnel plus longtemps que cela n’est nécessaire pour répondre aux objectifs et aux obligations établis dans le présent règlement, c’est-à-dire pendant le temps nécessaire pour atteindre la finalité de la collecte ou du traitement ultérieur. En particulier:

• a) les coordonnées des utilisateurs du système d’alerte rapide Safety Gate sont conservées dans le système tant que ces personnes restent des utilisateurs. Ces coordonnées sont supprimées du système dès réception de la notification qu’une personne n’est plus un utilisateur du système;
• b) les coordonnées des inspecteurs des autorités de surveillance du marché des États membres et des pays de l’AELE/EEE ainsi que des inspecteurs des autorités responsables du contrôle des frontières extérieures fournies dans les notifications et réactions sont conservées dans le système pendant les cinq années qui suivent la validation de la notification ou de la réaction;
• c) les données à caractère personnel des autres personnes physiques, éventuellement introduites dans le système, sont conservées sous une forme permettant l’identification pendant une période de 30 ans à compter de l’introduction des données dans le système d’alerte rapide Safety Gate, ce qui correspond à la durée de vie maximale estimée des catégories de produits telles que les appareils électriques ou les véhicules à moteur.

La Commission donne suite aux demandes légitimes des personnes concernées de faire bloquer, modifier ou supprimer leurs données dans un délai d’un mois à compter de la réception de la demande.

7. RESPONSABILITÉ EN CAS DE NON-RESPECT

La Commission est responsable en cas de non-respect, conformément aux dispositions du chapitre VIII du règlement (UE) 2018/1725.

Les autorités des États membres de l’UE sont responsables en cas de non-respect, conformément aux dispositions du chapitre VIII du règlement (UE) 2016/679.

8. COOPÉRATION ENTRE LES RESPONSABLES CONJOINTS DU TRAITEMENT

Chaque responsable conjoint du traitement fournit, sur demande, une assistance rapide et efficace aux autres responsables conjoints du traitement dans l’exécution du présent règlement, tout en respectant toutes les exigences applicables des règlements (UE) 2018/1725 et (UE) 2016/679, respectivement, ainsi que les autres règles applicables en matière de protection des données.

9. RÈGLEMENT DES LITIGES

Les responsables conjoints du traitement s’efforcent de régler à l’amiable tout litige relatif à l’interprétation ou à l’application du présent règlement ou en découlant.

Si, à un moment quelconque, une question, un litige ou un différend en rapport avec le présent règlement ou à propos de celui-ci survient entre les responsables conjoints du traitement, ceux-ci s’efforcent de tout mettre en oeuvre pour trouver une solution par un processus de consultation.

Il est préférable que tous les litiges soient réglés au niveau opérationnel dès qu’ils surviennent et qu’ils soient réglés par les points de contact mentionnés au point 10 de la présente annexe et indiqués sur le portail Safety Gate.

La consultation a pour but d’examiner les mesures prises pour résoudre le problème et de trouver un accord dans la mesure du possible. Les responsables conjoints du traitement engagent des négociations de bonne foi à cette fin. Chaque responsable conjoint du traitement répond à une demande de règlement à l’amiable dans un délai de sept jours ouvrés à compter de la réception de cette demande. Le délai imparti pour parvenir à un règlement à l’amiable est de trente jours à compter de la date de réception de la demande.

Si le litige ne peut être réglé à l’amiable, chaque responsable conjoint du traitement peut présenter une demande de médiation et/ou de procédure juridictionnelle de la manière suivante:

• a) en cas de médiation, les responsables conjoints du traitement désignent conjointement un médiateur acceptable par chacun d’eux, qui sera chargé de faciliter le règlement du litige dans un délai de deux mois à compter de sa saisine;
• b) en cas de procédure juridictionnelle, l’affaire est portée devant la Cour de justice de l’Union européenne conformément à l’article 272 du traité sur le fonctionnement de l’Union européenne.

10. POINTS DE CONTACT POUR LA COOPÉRATION ENTRE LES RESPONSABLES CONJOINTS DU TRAITEMENT

Chaque responsable conjoint du traitement désigne un point de contact unique auquel les autres responsables conjoints du traitement s’adressent pour toute question, réclamation et communication d’informations relevant du champ d’application du présent règlement.

Une liste détaillée de tous les points de contact désignés par la Commission et les autorités nationales, reprenant leurs coordonnées (nom, prénom, nom de l’autorité, adresse de l’autorité, téléphone, fax, adresse électronique), est disponible sur le portail Safety Gate.
                 
(1) Ce champ peut désigner la personne physique qui représente les fabricants ou leurs mandataires. Les États membres sont toutefois invités à éviter de saisir des données à caractère personnel et à privilégier les coordonnées non personnelles telles que les adresses électroniques génériques.
(2) Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40, ELI: http://data.europa.eu/eli/dec/2017/46/oj).
(3) https://ec.europa.eu/safety-gate/#/screen/pages/contacts.