Accord entre l’Union européenne et la Bosnie-Herzégovine sur la coopération entr — MeilleurAvocats.fr

Journal officiel
de l'Union européenne

Série L

2025/867

7.5.2025

Accord entre l’Union européenne et la Bosnie-Herzégovine sur la coopération entre l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et les autorités de la Bosnie-Herzégovine compétentes dans le domaine de la coopération judiciaire en matière pénale

L’UNION EUROPÉENNE, ci-après dénommée «Union»,

LA BOSNIE-HERZÉGOVINE,

ci-après conjointement dénommées «parties»,

VU le règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (1) (ci-après dénommé «règlement Eurojust»), tel qu’il est appliqué conformément au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, et notamment son article 47, son article 52, paragraphe 1, et son article 56, paragraphe 2,

VU, en particulier, l’article 56, paragraphe 2, point c), du règlement Eurojust, qui énonce les principes généraux applicables au transfert de données à caractère personnel d’Eurojust vers des pays tiers ou des organisations internationales, Eurojust pouvant transférer des données à caractère personnel vers un pays tiers sur la base d’un accord international conclu entre l’Union et ledit pays tiers en application de l’article 218 du traité sur le fonctionnement de l’Union européenne,

CONSIDÉRANT l’intérêt tant d’Eurojust que de la Bosnie-Herzégovine à mettre en place une coopération judiciaire étroite et dynamique en matière pénale afin de relever les défis que posent les formes graves de criminalité, en particulier la criminalité organisée et le terrorisme, tout en offrant des garanties appropriées concernant les libertés et droits fondamentaux des personnes physiques, y compris le respect de la vie privée et la protection des données à caractère personnel,

CONVAINCUES que la coopération judiciaire entre Eurojust et la Bosnie-Herzégovine sera mutuellement bénéfique et contribuera au développement de l’espace de liberté, de sécurité et de justice de l’Union,

CONSIDÉRANT le niveau élevé de protection des données à caractère personnel dans l’Union et en Bosnie-Herzégovine, et le fait que le principe de non-discrimination devrait guider la mise en œuvre du présent accord, c’est-à-dire que toutes les données statistiques collectées, enregistrées et traitées au cours de la mise en œuvre de l’accord devraient être ventilées par sexe,

CONSTATANT que la Bosnie-Herzégovine a ratifié la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE no 108), signée à Strasbourg le 28 janvier 1981, et son protocole d’amendement (STCE no 223), signé à Strasbourg le 10 octobre 2018, qui jouent tous deux un rôle fondamental dans le système de protection des données d’Eurojust,

AGISSANT DANS LE RESPECT de la convention du Conseil de l’Europe de sauvegarde des droits de l’homme et des libertés fondamentales (STE no 5), signée à Rome le 4 novembre 1950, qui se reflète dans la charte des droits fondamentaux de l’Union européenne, ainsi que dans la Constitution de la Bosnie-Herzégovine,

SONT CONVENUES DE CE QUI SUIT:

CHAPITRE I

OBJECTIFS, CHAMP D’APPLICATION ET DISPOSITIONS COMMUNES

Article 1

Objectifs

1. L’objectif général du présent accord est de renforcer la coopération judiciaire entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine dans le domaine de la lutte contre les formes graves de criminalité.

2. Le présent accord permet le transfert de données à caractère personnel entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine, aux fins d’appuyer et de renforcer l’action des autorités compétentes des États membres de l’Union et de celles de la Bosnie-Herzégovine, ainsi que leur coopération dans les enquêtes et les poursuites relatives aux formes graves de criminalité, en particulier la criminalité organisée et le terrorisme, tout en offrant des garanties appropriées concernant les libertés et droits fondamentaux des personnes physiques, y compris le respect de la vie privée et la protection des données à caractère personnel.

Article 2

Champ d’application

Les parties veillent à ce qu’Eurojust et les autorités compétentes de la Bosnie-Herzégovine coopèrent dans les domaines d’activité et dans les limites de la compétence et des missions d’Eurojust, tels qu’ils sont définis dans le règlement Eurojust, tel qu’il est appliqué conformément au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, ainsi que dans le présent accord.

Article 3

Définitions

Aux fins du présent accord, on entend par:

1)	«Eurojust»: l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale, établie par le règlement Eurojust, toute modification ultérieure comprise;

2)	«États membres»: les États membres de l’Union;

«autorité compétente»: pour l’Union, Eurojust, et pour la Bosnie-Herzégovine, une autorité nationale dotée de responsabilités en vertu du droit interne en matière d’enquêtes et de poursuites relatives aux infractions pénales, y compris la mise en œuvre des instruments de coopération judiciaire en matière pénale, telle que mentionnée à l’annexe II du présent accord;

«organes de l’Union»: les institutions, organes et organismes, ainsi que les missions ou opérations établies dans le cadre de la politique de sécurité et de défense commune, institués par le traité sur l’Union européenne et le traité sur le fonctionnement de l’Union européenne ou sur la base de ces traités, tels qu’énumérés à l’annexe III du présent accord;

5)	«formes graves de criminalité»: les formes de criminalité relevant de la compétence d’Eurojust, en particulier celles énumérées à l’annexe I du présent accord, y compris les infractions pénales connexes;

6)	«infractions pénales connexes»: les infractions pénales commises dans le but de se procurer les moyens de commettre des formes graves de criminalité, de faciliter ou de commettre des formes graves de criminalité, ou de garantir l’impunité des auteurs des formes graves de criminalité;

7)	«assistant»: une personne qui peut assister un membre national, tel que visé au chapitre II, section II, du règlement Eurojust, et l’adjoint du membre national ou le procureur de liaison, conformément, respectivement, au règlement Eurojust et à l’article 5 du présent accord;

8)	«procureur de liaison»: une personne qui exerce les fonctions de procureur ou de juge en Bosnie-Herzégovine, conformément au droit interne du pays, et qui est détachée par la Bosnie-Herzégovine auprès d’Eurojust conformément à l’article 5 du présent accord;

9)	«magistrat de liaison»: un magistrat tel que visé dans le règlement Eurojust, détaché par Eurojust auprès de la Bosnie-Herzégovine conformément à l’article 8 du présent accord;

10)

«données à caractère personnel»: toute information se rapportant à une personne physique identifiée ou identifiable («personne concernée»); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

11)

«traitement»: toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

12)

«données génétiques»: les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;

13)

«données biométriques»: les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

14)	«informations»: les données à caractère personnel et non personnel;

15)	«données à caractère non personnel»: les données autres que les données à caractère personnel;

16)

«violation de données à caractère personnel»: une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

17)	«autorité de contrôle»: une autorité chargée de la protection des données conformément à l’article 21, qui a fait l’objet d’une notification en vertu de l’article 28, paragraphe 3.

Article 4

Points de contact

1. La Bosnie-Herzégovine désigne au moins un point de contact au sein de ses autorités nationales compétentes afin de faciliter la communication et la coopération entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine. La Bosnie-Herzégovine désigne l’un de ses points de contact comme point de contact pour les questions de terrorisme également. Le procureur de liaison n’est pas un point de contact.

2. Le point de contact pour la Bosnie-Herzégovine est notifié à l’Union. La Bosnie-Herzégovine informe Eurojust en cas de changement du point de contact.

Article 5

Procureur de liaison et membres de son personnel

1. Afin de faciliter la coopération prévue dans le présent accord, la Bosnie-Herzégovine détache un procureur de liaison auprès d’Eurojust.

2. Le mandat et la durée du détachement du procureur de liaison sont fixés par la Bosnie-Herzégovine en accord avec Eurojust.

3. Le procureur de liaison peut être épaulé par un ou plusieurs assistants et d’autres membres du personnel d’appui, en fonction de la charge de travail et en accord avec Eurojust. Si nécessaire, les assistants peuvent remplacer le procureur de liaison ou agir en son nom.

4. La Bosnie-Herzégovine veille à ce que le procureur de liaison et ses assistants soient compétents pour agir à l’égard des autorités judiciaires étrangères.

5. Le procureur de liaison et ses assistants ont accès aux informations figurant dans les casiers judiciaires nationaux, les registres des personnes arrêtées, les registres d’enquêtes, les registres d’ADN ou d’autres registres des autorités publiques de la Bosnie-Herzégovine lorsque ces informations sont nécessaires à l’accomplissement de leurs tâches, conformément aux dispositions du droit interne.

6. Le procureur de liaison et ses assistants sont habilités à contacter directement les autorités compétentes de la Bosnie-Herzégovine.

7. La Bosnie-Herzégovine informe Eurojust de la nature et de l’étendue exactes des pouvoirs judiciaires conférés en Bosnie-Herzégovine au procureur de liaison et aux assistants de ce dernier pour leur permettre d’accomplir les tâches qui leur incombent en vertu du présent accord.

8. Les tâches du procureur de liaison et de ses assistants, leurs droits et obligations ainsi que les coûts y afférents pour Eurojust sont régis par un arrangement de travail conclu entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine conformément à l’article 26.

9. Les documents de travail du procureur de liaison et de ses assistants sont considérés par Eurojust comme étant inviolables.

Article 6

Réunions opérationnelles et stratégiques

1. Le procureur de liaison, ses assistants et d’autres représentants des autorités compétentes de la Bosnie-Herzégovine, y compris les points de contact visés à l’article 4, peuvent participer à des réunions ayant trait à des questions stratégiques, à l’invitation du président d’Eurojust, et à des réunions ayant trait à des questions opérationnelles, sous réserve de l’approbation des membres nationaux concernés.

2. Les membres nationaux, leurs adjoints et leurs assistants, le directeur administratif d’Eurojust et le personnel d’Eurojust peuvent assister aux réunions organisées par le procureur de liaison, ses assistants ou d’autres représentants des autorités compétentes de la Bosnie-Herzégovine, y compris les points de contact visés à l’article 4.

Article 7

Équipes communes d’enquête

1. Eurojust peut aider la Bosnie-Herzégovine à mettre en place des équipes communes d’enquête (ECE) avec les autorités nationales d’un État membre, conformément à la base juridique permettant la coopération judiciaire en matière pénale applicable entre elles, par exemple un accord d’entraide.

2. Eurojust peut être invitée à fournir une assistance financière ou technique pour le fonctionnement d’une ECE qu’elle soutient sur le plan opérationnel.

Article 8

Magistrat de liaison

1. Afin de faciliter la coopération judiciaire avec la Bosnie-Herzégovine, Eurojust peut détacher un magistrat de liaison auprès de la Bosnie-Herzégovine conformément au règlement Eurojust.

2. Les tâches du magistrat de liaison, ses droits et obligations ainsi que les coûts y afférents sont régis par un arrangement de travail conclu entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine conformément à l’article 26.

CHAPITRE II

ÉCHANGE D’INFORMATIONS ET PROTECTION DES DONNÉES

Article 9

Finalités du traitement des données à caractère personnel

1. Les données à caractère personnel demandées et reçues au titre du présent accord ne sont traitées qu’à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, dans les limites de l’article 10, paragraphe 6, et des mandats respectifs des autorités compétentes.

2. Les autorités compétentes indiquent clairement, au plus tard au moment du transfert des données à caractère personnel, la ou les finalités spécifiques pour lesquelles ces données sont transférées.

Article 10

Principes généraux en matière de protection des données

1. Chaque partie prévoit que les données à caractère personnel transférées et ultérieurement traitées dans le cadre du présent accord sont:

a)	traitées de manière loyale, licite et transparente et pour les seules finalités pour lesquelles elles ont été transférées conformément à l’article 9;

b)	adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;

c)	exactes et, si nécessaire, mises à jour; chaque partie veille à ce que les autorités compétentes prennent toutes les mesures raisonnables pour que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans retard indu;

d)	conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

e)	traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

2. L’autorité compétente qui transfère les données à caractère personnel (ci-après dénommée «autorité de transfert») peut indiquer, lors du transfert de ces données, toute limitation de l’accès à ces données ou de leur utilisation, en termes généraux ou spécifiques, y compris en ce qui concerne leur transfert ultérieur, leur effacement ou leur destruction après un certain délai, ou leur traitement ultérieur. Lorsque la nécessité d’appliquer de telles limitations apparaît après le transfert des données à caractère personnel, l’autorité de transfert en informe l’autorité compétente destinataire (ci-après dénommée «autorité destinataire»).

3. Chaque partie veille à ce que l’autorité destinataire respecte toute limitation de l’accès aux données à caractère personnel ou de l’utilisation de celles-ci indiquée par l’autorité de transfert visée au paragraphe 2.

4. Chaque partie veille à ce que ses autorités compétentes mettent en œuvre les mesures techniques et organisationnelles appropriées de manière à pouvoir démontrer que le traitement des données est conforme au présent accord et que les droits des personnes concernées sont protégés.

5. Chaque partie respecte les garanties prévues par le présent accord, indépendamment de la nationalité de la personne concernée et sans discrimination.

6. Chaque partie veille à ce que les données à caractère personnel transférées en vertu du présent accord n’aient pas été obtenues en violation des droits de l’homme reconnus par le droit international contraignant pour les parties.

Chaque partie veille à ce que les données à caractère personnel reçues ne soient pas utilisées pour demander, prononcer ou mettre à exécution une condamnation à la peine de mort ou toute forme de traitement cruel ou inhumain.

7. Chaque partie veille à ce que soit tenu un relevé de tous les transferts de données à caractère personnel effectués en vertu du présent article ainsi que des finalités desdits transferts.

Article 11

Catégories de personnes concernées et catégories particulières de données à caractère personnel

1. Le transfert de données à caractère personnel concernant des victimes d’infraction pénale, des témoins ou d’autres personnes pouvant fournir des informations sur des infractions pénales est autorisé uniquement s’il est strictement nécessaire et proportionné, dans des cas particuliers, à des fins d’enquêtes et de poursuites relatives à des formes graves de criminalité.

2. Le transfert de données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, de données génétiques, de données biométriques traitées aux fins d’identifier une personne physique de manière unique, de données concernant la santé ou de données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement s’il est strictement nécessaire et proportionné, dans des cas particuliers, à des fins d’enquêtes et de poursuites relatives à des formes graves de criminalité.

3. Les parties veillent à ce que le traitement des données à caractère personnel visées aux paragraphes 1 et 2 soit soumis à des garanties supplémentaires, y compris des limitations d’accès, des mesures de sécurité supplémentaires et des limitations de transfert ultérieur.

Article 12

Traitement automatisé des données à caractère personnel

Les décisions fondées exclusivement sur le traitement automatisé des données à caractère personnel transférées, y compris le profilage, qui produisent des effets juridiques défavorables pour la personne concernée ou l’affectent de manière significative sont interdites, à moins qu’elles ne soient autorisées par la loi aux fins d’enquêtes et de poursuites relatives aux formes graves de criminalité et que la loi fournisse des garanties appropriées pour les droits et libertés de la personne concernée, dont au minimum le droit d’obtenir une intervention humaine.

Article 13

Transfert ultérieur des données à caractère personnel reçues

1. La Bosnie-Herzégovine veille à ce qu’il soit interdit à ses autorités compétentes de transférer des données à caractère personnel reçues au titre du présent accord à d’autres autorités du pays, à moins que toutes les conditions suivantes soient remplies:

a)	Eurojust a donné son autorisation explicite préalable;

b)	le transfert ultérieur est destiné aux seules finalités pour lesquelles les données ont été transférées conformément à l’article 9; et

c)	le transfert est soumis aux mêmes conditions et garanties que celles qui s’appliquent au transfert initial.

Sans préjudice de l’article 10, paragraphe 2, aucune autorisation préalable n’est requise lorsque les données à caractère personnel sont partagées entre les autorités compétentes de la Bosnie-Herzégovine.

2. La Bosnie-Herzégovine veille à ce qu’il soit interdit à ses autorités compétentes de transférer des données à caractère personnel reçues au titre du présent accord aux autorités d’un pays tiers ou à une organisation internationale, à moins que toutes les conditions suivantes soient remplies:

a)	le transfert ultérieur concerne des données à caractère personnel autres que celles relevant de l’article 11;

b)	Eurojust a donné son autorisation explicite préalable; et

c)	la finalité du transfert ultérieur est identique à la finalité du transfert effectué par Eurojust.

3. Eurojust donne l’autorisation visée au paragraphe 2, point b), uniquement si, et dans la mesure où, il existe une décision d’adéquation, un accord de coopération ou un accord international prévoyant des garanties appropriées en ce qui concerne la protection de la vie privée et des libertés et droits fondamentaux des personnes physiques, au sens du règlement Eurojust, s’appliquant au transfert ultérieur dans chaque cas.

4. L’Union veille à ce qu’il soit interdit à Eurojust de transférer des données à caractère personnel reçues au titre du présent accord à des organes de l’Union non énumérés à l’annexe III, aux autorités d’un pays tiers ou à une organisation internationale, à moins que toutes les conditions suivantes soient remplies:

a)	le transfert concerne des données à caractère personnel autres que celles relevant de l’article 11;

b)	la Bosnie-Herzégovine a donné son autorisation explicite préalable;

c)	la finalité du transfert ultérieur est identique à la finalité du transfert effectué par l’autorité de transfert de la Bosnie-Herzégovine; et

dans le cas d’un transfert ultérieur aux autorités d’un pays tiers ou à une organisation internationale, il existe une décision d’adéquation, un accord de coopération ou un accord international prévoyant des garanties appropriées en ce qui concerne la protection de la vie privée et des libertés et droits fondamentaux des personnes physiques, au sens du règlement Eurojust, s’appliquant au transfert ultérieur dans chaque cas.

Les conditions énoncées au premier alinéa ne s’appliquent pas lorsque les données à caractère personnel sont partagées par Eurojust avec les organes de l’Union énumérés à l’annexe III ou avec les autorités chargées, dans les États membres, des enquêtes et des poursuites relatives à des formes graves de criminalité.

Article 14

Droit d’accès

1. Les parties prévoient que la personne concernée a le droit d’obtenir des autorités traitant les données à caractère personnel transférées en vertu du présent accord la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées en vertu du présent accord et, lorsqu’elles le sont, d’accéder au moins aux informations suivantes:

a)	les finalités et la base juridique du traitement, les catégories de données concernées et, le cas échéant, les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées;

b)	l’existence du droit d’obtenir de l’autorité la rectification, l’effacement ou la limitation du traitement des données à caractère personnel;

c)	lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

d)	la communication, en des termes simples et clairs, des données à caractère personnel en cours de traitement ainsi que de toute information disponible quant à la source de ces données;

e)	le droit d’introduire une réclamation auprès de l’autorité de contrôle visée à l’article 21 et les coordonnées de ladite autorité.

Dans les cas où le droit d’accès visé au premier alinéa est exercé, l’autorité de transfert est consultée sur une base non contraignante avant qu’une décision définitive sur la demande d’accès ne soit prise.

2. Les parties prévoient que l’autorité concernée répond à la demande sans retard indu et, en tout état de cause, dans un délai de trois mois à compter de la réception de la demande.

3. Les parties peuvent prévoir la possibilité que soit retardée, refusée ou limitée la communication des informations visées au paragraphe 1 dès lors et aussi longtemps qu’un tel retard, un tel refus ou une telle limitation constitue une mesure nécessaire et proportionnée, compte tenu des droits fondamentaux et des intérêts de la personne concernée, pour:

a)	éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b)	éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales;

c)	protéger la sécurité publique;

d)	protéger la sécurité nationale; ou

e)	protéger les droits et libertés d’autrui, par exemple des victimes et des témoins.

4. Les parties prévoient que l’autorité concernée informe la personne concernée par écrit:

a)	de tout retard, de tout refus ou de toute limitation d’accès, et du motif de ceux-ci; et

b)	de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente ou de former un recours juridictionnel.

Les informations visées au premier alinéa, point a), peuvent ne pas être fournies lorsque leur communication risque de compromettre l’objectif du retard, du refus ou de la limitation visés au paragraphe 3.

Article 15

Droit de rectification, d’effacement ou de limitation

1. Les parties prévoient que toute personne concernée a le droit d’obtenir des autorités traitant des données à caractère personnel transférées en vertu du présent accord la rectification de données à caractère personnel inexactes la concernant. Compte tenu des finalités du traitement, le droit d’obtenir une telle rectification inclut le droit à ce que soient complétées des données à caractère personnel incomplètes qui ont été transférées en vertu du présent accord, y compris en fournissant une déclaration complémentaire.

2. Les parties prévoient que toute personne concernée a le droit d’obtenir des autorités traitant des données à caractère personnel transférées en vertu du présent accord l’effacement des données à caractère personnel la concernant lorsque le traitement des données à caractère personnel enfreint l’article 10, paragraphe 1, ou l’article 11, paragraphe 2, ou lorsque les données à caractère personnel doivent être effacées pour que soit respectée une obligation légale à laquelle les autorités sont soumises.

3. Les parties peuvent prévoir la possibilité que les autorités accordent une limitation du traitement plutôt que la rectification ou l’effacement des données à caractère personnel visés aux paragraphes 1 et 2:

a)	lorsque l’exactitude des données à caractère personnel est contestée par la personne concernée et qu’il ne peut être déterminé si les données sont exactes ou non; ou

b)	lorsque les données à caractère personnel doivent être conservées à des fins probatoires.

4. L’autorité de transfert et l’autorité traitant les données à caractère personnel s’informent mutuellement des cas visés aux paragraphes 1, 2 et 3. L’autorité traitant les données rectifie ou efface les données à caractère personnel concernées ou en limite le traitement conformément aux mesures prises par l’autorité de transfert.

5. Les parties prévoient que l’autorité qui a reçu une demande au titre du paragraphe 1 ou 2 informe la personne concernée par écrit et dans les meilleurs délais que des données à caractère personnel ont été rectifiées ou effacées, ou que leur traitement a été limité.

6. Les parties prévoient que l’autorité qui a reçu une demande au titre du paragraphe 1 ou 2 informe la personne concernée par écrit:

a)	de tout refus de la demande et des motifs de ce refus;

b)	de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente; et

c)	de la possibilité de former un recours juridictionnel.

Les informations visées au premier alinéa, point a), du présent paragraphe peuvent ne pas être communiquées, dans les conditions prévues à l’article 14, paragraphe 3.

Article 16

Notification d’une violation de données à caractère personnel aux autorités concernées

1. Les parties prévoient que, en cas de violation de données à caractère personnel transférées en vertu du présent accord, leurs autorités respectives se notifient sans retard cette violation et la notifient sans retard à leurs autorités de contrôle respectives, sauf si la violation des données à caractère personnel est peu susceptible d’entraîner un risque pour les droits et libertés de personnes physiques, et prennent des mesures pour en atténuer les éventuelles conséquences négatives.

2. La notification décrit à tout le moins:

a)	la nature de la violation des données à caractère personnel, y compris, si possible, les catégories et le nombre de personnes concernées ainsi que les catégories et le nombre d’enregistrements de données à caractère personnel concernés;

b)	les conséquences probables de la violation des données à caractère personnel;

c)	les mesures prises ou proposées par l’autorité traitant les données pour remédier à la violation des données à caractère personnel, y compris les mesures prises pour en atténuer les éventuelles conséquences négatives.

3. Si, et dans la mesure où, il n’est pas possible de fournir les informations visées au paragraphe 2 en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

4. Les parties prévoient que leurs autorités respectives documentent toute violation de données à caractère personnel portant atteinte à des données à caractère personnel transférées en vertu du présent accord, en fournissant notamment le contexte, les effets de la violation et les mesures prises pour y remédier, permettant ainsi à leurs autorités de contrôle respectives de vérifier le respect du présent article.

Article 17

Communication d’une violation de données à caractère personnel à la personne concernée

1. Les parties prévoient que, lorsqu’une violation de données à caractère personnel visée à l’article 16 est susceptible d’engendrer un risque élevé pour les droits et libertés de personnes physiques, leurs autorités respectives communiquent sans retard indu la violation à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit, en des termes simples et clairs, la nature de la violation de données à caractère personnel et contient au moins les éléments visés à l’article 16, paragraphe 2, points b) et c).

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions ci-après est remplie:

a)	les données à caractère personnel concernées par la violation ont fait l’objet de mesures de protection technologiques et organisationnelles appropriées qui rendent les données incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès;

b)	des mesures ultérieures ont été prises et garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser;

c)	cette communication exigerait des efforts disproportionnés, eu égard notamment au nombre de cas concernés; dans ce cas, l’autorité fait une communication publique ou prend une mesure similaire permettant aux personnes concernées d’être informées de manière aussi efficace.

4. La communication à la personne concernée peut être retardée, limitée ou omise dans les conditions prévues à l’article 14, paragraphe 3.

Article 18

Conservation, réexamen, correction et suppression de données à caractère personnel

1. Les parties prévoient la fixation de délais appropriés pour la conservation des données à caractère personnel reçues dans le cadre du présent accord ou pour le réexamen périodique de la nécessité de conserver ces données, de sorte que ces dernières ne soient pas conservées plus longtemps que nécessaire aux fins pour lesquelles elles ont été transférées.

2. En tout état de cause, la nécessité de continuer à conserver les données à caractère personnel est réexaminée au plus tard trois ans après leur transfert.

3. Lorsqu’une autorité de transfert a des raisons de croire que des données à caractère personnel qu’elle a précédemment transférées sont incorrectes, sont inexactes, ne sont plus à jour ou n’auraient pas dû être transférées, elle en informe l’autorité destinataire, qui rectifie ou efface les données à caractère personnel en question et le notifie à l’autorité de transfert.

4. Lorsqu’une autorité compétente a des raisons de croire que des données à caractère personnel qu’elle a précédemment reçues sont incorrectes, sont inexactes, ne sont plus à jour ou n’auraient pas dû être transférées, elle en informe l’autorité de transfert, qui fait part de son avis sur la question.

Lorsque l’autorité de transfert conclut que les données à caractère personnel sont incorrectes, sont inexactes, ne sont plus à jour ou n’auraient pas dû être transférées, elle en informe l’autorité destinataire, qui rectifie ou efface les données à caractère personnel en question et le notifie à l’autorité de transfert.

Article 19

Établissement de journaux et documentation

1. Les parties prévoient l’établissement de journaux ou d’autres documents dans lesquels sont consignés la collecte, la modification, la consultation, la communication, y compris le transfert ultérieur, l’interconnexion et l’effacement des données à caractère personnel. Il est entendu qu’elles veillent à ce qu’il soit possible de vérifier et d’établir quelles données à caractère personnel ont été consultées, par qui et quand.

2. Les journaux ou documents visés au paragraphe 1 sont mis, sur demande, à la disposition de l’autorité de contrôle et ne sont utilisés qu’à des fins de vérification de la licéité du traitement des données, d’autocontrôle et de garantie de l’intégrité et de la sécurité des données.

Article 20

Sécurité des données

1. Les parties veillent à la mise en œuvre des mesures techniques et organisationnelles visant à protéger les données à caractère personnel transférées dans le cadre du présent accord.

2. En ce qui concerne le traitement automatisé des données, les parties veillent à la mise en œuvre de mesures destinées à:

a)	empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement des données à caractère personnel («contrôle de l’accès aux installations»);

b)	empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée («contrôle des supports de données»);

c)	empêcher l’introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l’inspection, la modification ou la suppression non autorisée de données à caractère personnel enregistrées («contrôle de la conservation»);

d)	empêcher que les systèmes de traitement automatisé des données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données («contrôle des utilisateurs»);

e)	faire en sorte que les personnes autorisées à utiliser un système de traitement automatisé des données ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation («contrôle de l’accès aux données»);

f)	faire en sorte qu’il soit possible de vérifier et de déterminer à quelles entités des données à caractère personnel peuvent être ou ont été transmises par des installations de transmission de données («contrôle de la transmission»);

g)	faire en sorte qu’il soit possible de vérifier et de déterminer quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé des données, à quel moment et par quelle personne («contrôle de l’introduction»);

h)	empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée («contrôle du transport»);

i)	veiller à ce que les systèmes installés puissent être rétablis immédiatement en cas d’interruption («restauration»);

j)	faire en sorte que les fonctions du système ne soient pas défectueuses, que les erreurs de fonctionnement soient immédiatement signalées («fiabilité») et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système («intégrité»).

Article 21

Autorité de contrôle

1. Les parties prévoient qu’une ou plusieurs autorités publiques indépendantes chargées de la protection des données supervisent la mise en œuvre du présent accord et en garantissent le respect, avec pour objectif de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel.

2. Les parties veillent à ce que:

a)	chaque autorité de contrôle agisse en toute indépendance dans l’exercice de ses missions et de ses pouvoirs;

b)	chaque autorité de contrôle soit libre de toute influence extérieure directe ou indirecte et ne sollicite ni n’accepte aucune instruction;

c)	les membres de chaque autorité de contrôle bénéficient de la sécurité de mandat, y compris de garanties contre les destitutions arbitraires.

3. Les parties veillent à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières, des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs.

4. Les parties veillent à ce que chaque autorité de contrôle soit investie de réels pouvoirs d’enquête et d’intervention pour surveiller les organismes qu’elle supervise et pour ester en justice.

5. Les parties veillent à ce que chaque autorité de contrôle ait le pouvoir de connaître des réclamations de personnes physiques sur l’utilisation de données à caractère personnel les concernant, et de les traiter.

Article 22

Droit à un recours juridictionnel effectif

1. Les parties veillent à ce que, sans préjudice de tout autre recours administratif ou extrajudiciaire, chaque personne concernée ait droit à un recours juridictionnel effectif lorsqu’elle estime que les droits que lui garantit le présent accord ont été violés du fait d’un traitement de données à caractère personnel la concernant effectué en violation du présent accord.

2. Le droit à un recours juridictionnel effectif inclut le droit à la réparation, dans les conditions prévues par le cadre juridique de chaque partie, de tout dommage causé à la personne concernée par un tel traitement du fait d’une violation de cet accord.

CHAPITRE III

CONFIDENTIALITÉ DES INFORMATIONS

Article 23

Échange d’informations classifiées ou d’informations sensibles non classifiées de l’UE

L’échange d’informations classifiées ou d’informations sensibles non classifiées de l’UE et de la Bosnie-Herzégovine, s’il est nécessaire dans le cadre du présent accord, et la protection de ces informations sont régis par un arrangement de travail conclu entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine.

CHAPITRE IV

RESPONSABILITÉ

Article 24

Responsabilité et réparation

1. Les autorités compétentes sont responsables, conformément à leurs cadres juridiques respectifs, de tout dommage causé à une personne du fait d’erreurs de droit ou de fait dans les informations échangées. Ni Eurojust ni les autorités compétentes de la Bosnie-Herzégovine ne peuvent faire valoir que l’autre partie a transféré des informations inexactes afin de s’exonérer de la responsabilité à l’égard d’une personne physique lésée prévue par leurs cadres juridiques respectifs.

2. Si une autorité compétente a versé une indemnisation à une personne physique en vertu du paragraphe 1 et que sa responsabilité a été engagée en raison de l’usage qu’elle a fait d’informations qui lui avaient été communiquées à tort par l’autre autorité compétente ou qui lui avaient été communiquées à la suite d’un manquement de l’autre autorité compétente à ses obligations, le montant versé à titre d’indemnisation est remboursé par l’autre autorité compétente, sauf si les informations ont été utilisées en violation du présent accord.

3. Eurojust et les autorités compétentes de la Bosnie-Herzégovine n’exigent pas l’une de l’autre le remboursement des dommages-intérêts punitifs ou non compensatoires.

CHAPITRE V

DISPOSITIONS FINALES

Article 25

Dépenses

Sauf disposition contraire du présent accord ou de l’arrangement de travail, les parties veillent à ce que les autorités compétentes prennent en charge leurs propres dépenses liées à la mise en œuvre du présent accord.

Article 26

Arrangement de travail

1. Les modalités détaillées de la coopération entre les parties aux fins de la mise en œuvre du présent accord font l’objet d’un arrangement de travail conclu entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine conformément au règlement Eurojust.

2. L’arrangement de travail remplace tout arrangement de travail existant conclu entre Eurojust et les autorités compétentes de la Bosnie-Herzégovine.

Article 27

Relations avec d’autres instruments internationaux

Le présent accord est sans préjudice de tout accord de coopération bilatéral ou multilatéral, de tout traité d’entraide judiciaire, de tout autre accord ou arrangement de coopération ou de toute relation de travail pour la coopération judiciaire en matière pénale entre la Bosnie-Herzégovine et tout État membre, ne modifie en rien ces dispositions ni n’a d’incidence sur celles-ci.

Article 28

Notification de la mise en œuvre

1. Les parties prévoient que chaque autorité compétente met à la disposition du public ses coordonnées ainsi qu’un document exposant, en des termes simples et clairs, les garanties applicables en matière de données à caractère personnel au titre du présent accord, y compris, au minimum, les éléments visés à l’article 14, paragraphe 1, points a) et c), et les moyens dont disposent les personnes concernées pour exercer leurs droits. Chaque partie veille à ce qu’une copie de ce document soit fournie à l’autre partie.

2. Les autorités compétentes adoptent des règles précisant de quelle manière le respect des dispositions applicables en matière de traitement des données à caractère personnel sera assuré dans la pratique si de telles règles n’existent pas encore. Une copie de ces règles est transmise à l’autre partie et à son autorité de contrôle.

3. Les parties se notifient mutuellement l’autorité de contrôle chargée de superviser la mise en œuvre du présent accord et d’en garantir le respect conformément à l’article 21.

Article 29

Entrée en vigueur et application

1. Le présent accord est approuvé par les parties conformément à leurs propres procédures.

2. Le présent accord entre en vigueur le premier jour du deuxième mois suivant celui au cours duquel les deux parties se seront notifié mutuellement l’accomplissement des procédures visées au paragraphe 1.

3. Le présent accord s’applique à partir du premier jour suivant la date à laquelle il aura été satisfait à l’ensemble des conditions suivantes:

a)	les parties ont signé un arrangement de travail conformément à l’article 26;

b)	les parties se sont mutuellement notifié le fait que les obligations énoncées dans le présent accord ont été mises en œuvre, y compris celles énoncées à l’article 28; et

c)	chaque partie a informé l’autre partie que la notification au titre du point b) du présent alinéa a été acceptée.

Les parties se notifient mutuellement par écrit la confirmation du respect des conditions énoncées au premier alinéa.

4. Une partie peut reporter le transfert de données à caractère personnel si l’autre partie cesse de prévoir et de mettre en œuvre les garanties et obligations au titre du chapitre II, et tant que la situation perdure.

Article 30

Modifications

1. Le présent accord peut être modifié par écrit, à tout moment, d’un commun accord entre les parties, par notification échangée entre elles.

2. Les annexes peuvent être actualisées, d’un commun accord entre les parties, par échange de notes diplomatiques.

Article 31

Réexamen et évaluation

1. Les parties procèdent à l’examen conjoint de la mise en œuvre du présent accord un an après la date de son entrée en application, et à intervalles réguliers par la suite, et chaque fois que l’une ou l’autre partie le demande et qu’elles en conviennent.

2. Les parties évaluent conjointement le présent accord quatre ans après la date de son entrée en application.

3. Les parties fixent à l’avance les modalités détaillées du réexamen et se communiquent mutuellement la composition de leurs équipes respectives. Chaque équipe comporte des experts dans le domaine de la protection des données et de la coopération judiciaire. Sous réserve des lois applicables, les participants au réexamen sont tenus de respecter la confidentialité des débats et de posséder les habilitations de sécurité appropriées. Aux fins de tout réexamen, les parties garantissent l’accès aux documents et aux systèmes concernés ainsi qu’au personnel compétent.

Article 32

Règlement des différends et clause suspensive

1. Si un différend naît au sujet de l’interprétation, de l’application ou de la mise en œuvre du présent accord et de toutes les questions y afférentes, les représentants des parties mènent des consultations et des négociations en vue de parvenir à une solution mutuellement acceptable.

2. Nonobstant le paragraphe 1, en cas de violation substantielle ou d’inexécution des obligations prévues par le présent accord, ou s’il existe des indices qu’une telle violation substantielle ou inexécution des obligations est susceptible de se produire dans un avenir proche, chaque partie peut suspendre l’application du présent accord, en tout ou en partie, par notification écrite adressée à l’autre partie.

Une telle notification écrite n’intervient qu’en cas d’échec de consultations menées pendant une durée raisonnable entre les parties pour trouver une solution.

La suspension prend effet 20 jours après la date de réception de ladite notification. Une telle suspension peut être levée par la partie qui en est à l’origine, moyennant notification écrite à l’autre partie. La suspension est levée dès réception de cette notification.

3. Nonobstant toute suspension de l’application du présent accord, les informations relevant du champ d’application du présent accord transférées avant sa suspension continuent d’être traitées conformément à celui-ci.

Article 33

Dénonciation

1. Chaque partie peut notifier par écrit à l’autre partie son intention de dénoncer le présent accord. La dénonciation prend effet trois mois après la date de réception de la notification.

2. Les informations relevant du champ d’application du présent accord transférées avant sa dénonciation continuent d’être traitées conformément au présent accord tel qu’en vigueur à la date de la dénonciation.

3. En cas de dénonciation, les parties s’accordent sur la poursuite de l’utilisation et de la conservation des informations qu’elles se sont déjà communiquées. En l’absence d’accord, l’une ou l’autre des parties est en droit d’exiger que les informations qu’elle a communiquées soient détruites ou lui soient restituées.

Article 34

Notifications

1. Les notifications prévues conformémentau présent accord sont envoyées:

a)	pour la Bosnie-Herzégovine, au ministère de la justice de la Bosnie-Herzégovine;

b)	pour l’Union, à la Commission européenne.

2. Les informations concernant le destinataire des notifications visées au paragraphe 1 peuvent être mises à jour par la voie diplomatique.

Article 35

Textes faisant foi

Le présent accord est rédigé en double exemplaire dans les langues officielles de l’Union et dans toutes les langues et tous les alphabets officiellement utilisés en Bosnie-Herzégovine à la date de la signature du présent accord, tous les textes faisant également foi. En cas de divergence, la version anglaise prévaut.

EN FOI DE QUOI, les plénipotentiaires soussignés, dûment habilités à cet effet, ont signé le présent accord.

← Retour au droit européen Voir aussi sur EUR-Lex →

CELEX	22025A00867
Type	Accord international
Date	lundi 28 octobre 2024

Résumé IA

Texte intégral

Documents similaires