|
10.4.2019 |
FR |
Journal officiel de l'Union européenne |
LI 99/1 |
DÉCISION DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES
du 2 avril 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par le Contrôleur européen de la protection des données
LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES (CEPD),
vu le traité sur le fonctionnement de l'Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données (ci-après le «règlement», et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25 et son chapitre VI,
Après consultation du secrétariat du Contrôleur européen de la protection des données sur cette décision, conformément à l'article 41, paragraphe 2, du règlement,
considérant ce qui suit:
|
(1) |
Le CEPD peut, dans le cadre de son fonctionnement, mener des enquêtes administratives, des procédures pré-disciplinaires et disciplinaires, et des procédures de suspension en vertu de l'article 86 du statut des fonctionnaires de l'Union européenne (2) et des dispositions de son annexe IX, ainsi que de la décision du CEPD du 23 avril 2015 portant adoption de dispositions d'exécution concernant la conduite des enquêtes administratives et des procédures disciplinaires, et de l'accord de niveau de service concernant la collaboration entre la DG HR de la Commission européenne et le CEPD, signé le 29 janvier 2016, et notifier les cas à l'IDOC ou à l'OLAF, ce qui implique le traitement d'informations, y compris de données à caractère personnel. |
|
(2) |
Les membres du personnel du CEPD ont l'obligation de signaler toute activité illégale éventuelle, y compris la fraude ou la corruption, portant atteinte aux intérêts de l'Union, ou conduite en rapport avec l'exercice d'activités professionnelles pouvant constituer un manquement grave aux obligations aux obligations du fonctionnaire de l'Union. Ce principe est régi par la décision du CEPD portant règles internes relatives au lancement d'alertes du 14 juin 2016. |
|
(3) |
Le CEPD a défini une politique visant à prévenir et à traiter de manière efficace et efficiente les cas réels ou potentiels de harcèlement moral ou sexuel sur le lieu de travail, conformément à sa décision du 10 décembre 2014 adoptant des mesures d'exécution concernant les articles 12 bis et 24 du statut au sujet de la procédure relative à la lutte contre le harcèlement. La décision établit une procédure informelle dans laquelle la victime présumée du harcèlement peut contacter des conseillers confidentiels du CEPD. |
|
(4) |
En application de l'article 57, paragraphe 1, point e), du règlement, le CEPD traite les réclamations relatives aux activités de traitement effectuées par les institutions, organes et organismes de l'Union. Dans ce contexte, le CEPD peut mener des enquêtes concernant l'objet de la réclamation. |
|
(5) |
Conformément à l'article 57, paragraphe 1, point f), du règlement, le CEPD mène des enquêtes sur l'application du règlement afin de vérifier la conformité des institutions, organes et organismes de l'Union. |
|
(6) |
Le CEPD peut mener des enquêtes sur d'éventuelles violations concernant des informations classifiées de l'Union, en vertu de la décision du CEPD du 18 février 2014 modifiant ses règles sur la sécurité des ICUE. |
|
(7) |
Le CEPD peut réaliser des audits de ses activités. Cet exercice est actuellement réalisé par l'intermédiaire du service d'audit interne (SAI) de la Commission européenne (ci-après le «SAI»), en vertu de l'accord de niveau de service signé le 1er juin 2012. Il peut également être réalisé par le coordinateur du contrôle interne agissant en cette qualité. |
|
(8) |
Dans le cadre des tâches décrites aux considérants 1 à 7, le CEPD et les autres institutions, organes ou organismes de l'Union peuvent mutuellement se prêter assistance et coopérer, conformément aux dispositions des accords de niveau de service, des protocoles d'accord et des accords de coopération pertinents. |
|
(9) |
Le CEPD, les autorités nationales de pays tiers et les organisations internationales peuvent mutuellement se prêter assistance et coopérer, à la demande de celles-ci ou à l'initiative du CEPD, conformément aux dispositions de l'article 51 du règlement. |
|
(10) |
Le CEPD et les pouvoirs publics des États membres de l'Union peuvent mutuellement se prêter assistance et coopérer, à la demande de ceux-ci ou à l'initiative du CEPD. |
|
(11) |
En vertu de l'article 58, paragraphe 4 du règlement, le CEPD peut être impliqué dans des affaires portées devant la Cour de justice de l'Union européenne soit pour saisir la Cour, soit pour défendre les décisions du CEPD attaquées ou pour intervenir dans des affaires relatives à ses missions. |
|
(12) |
Dans le cadre des activités susmentionnées, le CEPD collecte et traite les informations pertinentes et plusieurs catégories de données à caractère personnel, y compris les données d'identification de personnes physiques, les coordonnées, les fonctions et rôles professionnels, les informations sur la conduite et les performances professionnelles et privées, ainsi que les données financières. Le CEPD agit en qualité de responsable du traitement des données. |
|
(13) |
Des garanties adéquates sont en place pour protéger les données à caractère personnel et empêcher que celles-ci ne fassent l'objet d'un accès ou d'un transfert accidentel ou illicite, qu'elles soient conservées dans un environnement physique ou électronique. Après leur traitement, les données sont conservées conformément aux règles du CEPD applicables à la conservation de ces données, telles que définies dans les registres relatifs à la protection des données, conformément à l'article 31 du règlement. Au terme de la durée de conservation, les informations des dossiers, y compris les données à caractère personnel, sont effacées, anonymisées ou transférées aux archives historiques. |
|
(14) |
Dans ce contexte, le CEPD est tenu de respecter son obligation de fournir des informations aux personnes concernées en ce qui concerne les activités de traitement susmentionnées et de respecter les droits des personnes concernées, comme le prévoit le règlement. |
|
(15) |
Il peut s'avérer nécessaire de concilier les droits des personnes concernées en vertu du règlement avec les besoins des activités susmentionnées, tout en respectant pleinement les libertés et droits fondamentaux d'autres personnes concernées. À cet effet, l'article 25 du règlement prévoit, dans des conditions strictes, la possibilité de limiter l'application des articles 14 à 20, 35 et 36, ainsi que de l'article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20. Dans ce cas, il est nécessaire d'adopter des règles internes en vertu desquelles le CEPD peut limiter ces droits conformément au même article du règlement. |
|
(16) |
Cela peut notamment être le cas lorsqu'il s'agit de fournir des informations sur le traitement de données à caractère personnel à la personne concernée lors de la phase d'évaluation préliminaire d'une enquête administrative ou pendant l'enquête elle-même, préalablement à un classement éventuel de l'affaire ou à une phase pré-disciplinaire. Dans certaines circonstances, la communication de ces informations pourrait sérieusement compromettre la capacité du CEPD de mener l'enquête de manière efficace, lorsque, par exemple, la personne concernée risque de détruire des preuves ou de tenter d'influencer des témoins potentiels avant que ceux-ci ne soient interrogés. En outre, il pourrait être nécessaire que le CEPD protège leurs droits et leurs libertés, ainsi que les droits et libertés d'autres personnes concernées. |
|
(17) |
Il pourrait également être nécessaire de protéger la confidentialité d'un témoin ou d'un lanceur d'alerte qui a demandé à ne pas être identifié. Dans ce cas, le CEPD peut décider de limiter l'accès à l'identité, aux déclarations et aux autres données à caractère personnel du lanceur d'alerte et des autres personnes concernées, afin de protéger leurs droits et libertés. |
|
(18) |
Il pourrait s'avérer nécessaire de protéger la confidentialité d'un membre du personnel qui a contacté les conseillers confidentiels du CEPD dans le cadre d'une procédure relative au harcèlement. Dans ce cas, le CEPD peut décider de limiter l'accès à l'identité, aux déclarations et aux autres données à caractère personnel de la victime présumée, du harceleur présumé et des autres personnes concernées, afin de protéger leurs droits et libertés. |
|
(19) |
Lors du traitement des réclamations relatives à des activités de traitement effectuées par les institutions, organes et organismes de l'Union, le CEPD pourrait, dans certaines circonstances, devoir préserver l'efficacité de ses enquêtes et protéger, le cas échéant, les personnes concernées et leurs droits et libertés. |
|
(20) |
Lorsqu'il mène des enquêtes sur l'application du règlement afin de vérifier le respect du règlement par les institutions, organes et organismes de l'Union, le CEPD pourrait, dans certaines circonstances, devoir préserver l'efficacité de ses enquêtes et protéger, le cas échéant, les personnes impliquées et leurs droits et libertés. |
|
(21) |
Lorsqu'il mène des enquêtes sur d'éventuelles violations concernant des informations classifiées de l'Union, le CEPD pourrait, dans certaines circonstances, devoir préserver l'efficacité de ses enquêtes et protéger, le cas échéant, la sécurité intérieure des institutions, organes et organismes de l'Union, y compris leurs réseaux de communications électroniques, ainsi que les droits et libertés des personnes concernées. |
|
(22) |
Lors de l'assistance et de la coopération avec d'autres institutions, organes et organismes de l'Union, les pouvoirs publics des États membres de l'Union, les autorités nationales de pays tiers et les organisations internationales dans le cadre des activités susmentionnées, le CEPD pourrait, dans certaines circonstances, devoir préserver l'efficacité de ses enquêtes ou de celles menées par l'entité avec laquelle il coopère et protéger, le cas échéant, les personnes impliquées et leurs droits et libertés. |
|
(23) |
Lorsqu'il saisit ou intervient devant la Cour de justice de l'Union européenne, le CEPD peut devoir préserver la confidentialité des données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes dans le cadre de l'affaire en cause. |
|
(24) |
Les limitations appliquées par le CEPD doivent toujours respecter l'essence des libertés et droits fondamentaux et constituer une mesure strictement nécessaire et proportionnée dans une société démocratique. Le CEPD doit justifier ces limitations. |
|
(25) |
Sur la base du principe de responsabilité, le CEPD doit tenir un registre relatif à l'application de ces limitations. |
|
(26) |
Lorsqu'il traite des données à caractère personnel échangées avec d'autres organisations dans le cadre de ses missions, le CEPD et ces organisations doivent se consulter sur les motifs pertinents de l'imposition des limitations et sur la nécessité et la proportionnalité des limitations, à moins que cela ne compromette les activités du CEPD. |
|
(27) |
L'article 25, paragraphe 6, du règlement (UE) 2018/1725 impose au responsable du traitement d'informer les personnes concernées des principales raisons qui motivent l'application de la limitation et de leur droit de saisir le CEPD. |
|
(28) |
Conformément à l'article 25, paragraphe 8, du règlement, le CEPD peut différer, omettre ou refuser la communication d'informations sur les motifs de l'application d'une limitation à la personne concernée si cela prive d'effet, de quelque manière que ce soit, la limitation imposée. Le CEPD doit évaluer au cas par cas si la communication des informations prive d'effet la limitation imposée. |
|
(29) |
Le CEPD doit lever la limitation dès que les conditions qui la justifient ne s'appliquent plus et évaluer régulièrement ces conditions. |
|
(30) |
Afin de garantir la plus grande protection des droits et libertés des personnes concernées et conformément à l'article 44, paragraphe 1, du règlement, le DPD doit être informé en temps utile de toute limitation appliquée et vérifier le respect de la présente décision. |
|
(31) |
L'application des limitations susmentionnées est sans préjudice de l'application éventuelle des dispositions de l'article 16, paragraphe 5, et de l'article 17, paragraphe 4, qui portent, respectivement, sur le droit à l'information lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, et sur le droit d'accès de la personne concernée. |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d'application
La présente décision établit les règles relatives aux conditions dans lesquelles le CEPD peut limiter l'application des articles 14 à 20, 35 et 36, ainsi que de l'article 4, du règlement, en vertu de son article 25.
Article 2
Limitations
1. Conformément à l'article 25, paragraphe 1, du règlement, le CEPD peut limiter l'application de ses articles 14 à 20, 35 et 36, ainsi que de son article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20, lorsqu'il:
|
a) |
mène des enquêtes administratives, des procédures pré-disciplinaires et disciplinaires, et des procédures de suspension en vertu de l'article 86 du statut des fonctionnaires de l'Union européenne (3) et des dispositions de son annexe IX, ainsi que de la décision du CEPD du 23 avril 2015, et peut notifier les cas à l'IDOC ou à l'OLAF. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), g) et h), du règlement; |
|
b) |
fait en sorte que les membres du personnel du CEPD puissent, à titre confidentiel, communiquer des faits lorsqu'ils estiment qu'il existe de graves irrégularités, comme régi par la décision du CEPD portant règles internes relatives au lancement d'alertes du 14 juin 2016. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, point h), du règlement; |
|
c) |
veille à ce que les membres du personnel du CEPD puissent, à titre confidentiel, informer des conseillers confidentiels dans le cadre d'une procédure relative au harcèlement, telle que définie par la décision du CEPD du 10 décembre 2014. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, point h), du règlement; |
|
d) |
mène des enquêtes concernant des réclamations relatives à des activités de traitement effectuées par les institutions, organes et organismes de l'Union, conformément à l'article 57, paragraphe 1, point e), du règlement. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), g) et h), du règlement; |
|
e) |
mène des enquêtes sur l'application du règlement afin de vérifier la conformité des institutions, organes et organismes de l'Union, conformément à l'article 57, paragraphe 1, point f), du règlement. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), g) et h), du règlement; |
|
f) |
mène des enquêtes sur d'éventuelles violations concernant des informations classifiées de l'Union, en vertu de la décision du CEPD du 18 février 2014 modifiant ses règles sur la sécurité des ICUE. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), d), g) et h), du règlement; |
|
g) |
réalise des audits internes portant sur l'ensemble des activités et des départements du CEPD. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), g) et h), du règlement; |
|
h) |
apporte et bénéficie de l'assistance et la coopération mutuelles avec les autres institutions, organes ou organismes de l'Union, conformément aux dispositions des accords de niveau de service, des protocoles d'accord et des accords de coopération pertinents. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), d), g) et h), du règlement; |
|
i) |
apporte et bénéficie de l'assistance et la coopération mutuelles avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou à l'initiative du CEPD, conformément aux dispositions de l'article 51 du règlement. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), g) et h), du règlement; |
|
j) |
apporte et bénéficie de l'assistance et la coopération mutuelles avec les pouvoirs publics des États membres de l'Union, à la demande de ceux-ci ou à l'initiative du CEPD. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, points c), g) et h), du règlement; |
|
k) |
traite les données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes dans le cadre de l'affaire en cause lorsqu'il saisit ou intervient devant la Cour de justice de l'Union européenne, en vertu de l'article 58, paragraphe 4 du règlement. Les limitations pertinentes peuvent se fonder sur l'article 25, paragraphe 1, point e), du règlement; |
2. Les catégories de données comprennent les données d'identification de personnes physiques, les coordonnées, les fonctions et rôles professionnels, les informations sur la conduite et les performances professionnelles et privées, ainsi que les données financières.
3. Toute limitation doit respecter l'essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique.
4. Une évaluation de la nécessité et de la proportionnalité est effectué au cas par cas avant l'application des limitations. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre les objectifs fixés.
5. À des fins de responsabilité, le CEPD dépose un dossier décrivant les raisons des restrictions appliquées, les motifs parmi ceux énumérées au paragraphe 1 qui s'appliquent et le résultat de l'évaluation de la nécessité et de la proportionnalité. Ces dossiers font partie d'un registre ad hoc, qui est mis à disposition par le CEPD sur demande. Un rapport sur l'application de l'article 25 du règlement est mis à disposition périodiquement.
6. Lorsqu'il traite des données à caractère personnel échangées avec d'autres organisations dans le cadre de ses missions, le CEPD et ces organisations se consultent sur les motifs pertinents de l'imposition des limitations et sur la nécessité et la proportionnalité des limitations, à moins que cela ne compromette les activités du CEPD.
Article 3
Risques pour les droits et libertés des personnes concernées
L'évaluation des risques pour les droits et libertés des personnes concernées dont les données à caractère personnel peuvent faire l'objet de limitations, ainsi que leur durée de conservation, sont mentionnées dans le registre des activités de traitement pertinentes, conformément à l'article 31 du règlement et, le cas échéant, dans les analyses d'impact relatives à la protection des données, en vertu de l'article 39 du règlement.
Article 4
Durée de conservation et garanties
Le CEPD met en œuvre des garanties afin de prévenir les abus ou l'accès ou le transfert illicites de données à caractère personnel susceptibles de faire l'objet de restrictions. Ces garanties comprennent des mesures techniques et organisationnelles et sont détaillées, le cas échéant, dans les décisions, procédures et dispositions d'application du CEPD. Les garanties comprennent:
|
a) |
une définition adéquate des rôles, des responsabilités et des étapes de la procédure; |
|
b) |
le cas échéant, un environnement électronique sécurisé qui empêche l'accès ou le transfert illicites ou accidentels de données électroniques à des personnes non autorisées; |
|
c) |
le cas échéant, la conservation et le traitement sécurisés des documents papier; |
|
d) |
le suivi régulier des limitations et une révision périodique, qui doit être effectuée au moins tous les six mois. Une révision doit également être effectuée en cas de modification d'éléments essentiels du cas d'espèce. Les limitations sont levées dès que les circonstances qui les justifient ne s'appliquent plus. |
Article 5
Information et examen par le délégué à la protection des données
1. Le DPD du CEPD est informé dans les meilleurs délais dès lors que les droits des personnes concernées sont limités conformément à la présente décision et a accès au dossier et à tout document sous-jacent aux éléments de fait et de droit.
2. Le CEPD peut demander à examiner l'application de la limitation. Le CEPD informe son délégué par écrit du résultat de l'examen demandé.
3. La participation du DPD du CEPD à la procédure de limitation, y compris aux échanges d'informations, est documentée sous la forme appropriée.
Article 6
Information des personnes concernées sur les limitations de leurs droits
1. Le CEPD inclut dans les avis de protection des données publiés sur son site internet des informations générales à l'intention des personnes concernées en ce qui concerne les limitations potentielles de l'ensemble des droits des personnes concernées décrites à l'article 2, paragraphe 1. Ces informations portent sur les droits susceptibles d'être limités, les raisons et la durée potentielle de la limitation.
2. En outre, le CEPD informe les personnes concernées individuellement de toute limitation présente ou future de leurs droits dans les meilleurs délais et par écrit, comme précisé aux articles 7, 8 et 9.
Article 7
Droit à l'information des personnes concernées et communication relative aux violations de données
1. Lorsque, dans le cadre des activités visées dans la présente décision, le CEPD limite, en tout ou en partie, leurs droits visés aux articles 14 à 16 et à l'article 35 du règlement, les personnes concernées sont informées des principales raisons qui motivent l'application de la limitation, de leur droit de saisir le CEPD et de former un recours juridictionnel devant la Cour de justice de l'Union européenne.
2. Le CEPD peut différer, omettre ou refuser la communication d'informations sur les motifs de la limitation visée au paragraphe 1 dès lors que cela priverait d'effet la limitation. Cette évaluation se fait au cas par cas.
Article 8
Droit d'accès, de rectification, d'effacement et de limitation du traitement des données des personnes concernées
1. Lorsque, dans le cadre des activités visées dans la présente décision, le CEPD limite, en tout ou en partie, le droit d'accès aux données à caractère personnel, le droit de rectification, d'effacement et de limitation du traitement visé aux articles 17 à 20, respectivement, du règlement, il informe la personne concernée, dans la réponse à sa demande, des principales raisons qui motivent l'application de la limitation, de son droit de saisir le CEPD et de former un recours juridictionnel devant la Cour de justice de l'Union européenne.
2. Lorsque le droit d'accès est, en tout ou en partie, limité, le CEPD, lorsqu'il examine la réclamation, communique uniquement à la personne concernée si les données ont été traitées correctement et, si tel n'est pas le cas, si les corrections nécessaires ont été apportées, conformément à l'article 25, paragraphe 7, du règlement.
3. Le CEPD peut différer, omettre ou refuser la communication d'informations sur les motifs de la limitation visée aux paragraphes 1 et 2 si cela prive d'effet la limitation. Cette évaluation se fait au cas par cas.
Article 9
Confidentialité des communications électroniques
1. Le CEPD peut, dans des cas exceptionnels et conformément aux dispositions et au principe de la directive 2002/58/CE, limiter le droit à la confidentialité des communications électroniques, comme le prévoit l'article 36 du règlement. Dans ce cas, le CEPD précise les circonstances, les motifs, les risques pertinents et les garanties connexes dans des règles internes spécifiques.
2. Lorsque le CEPD restreint le droit à la confidentialité des communications électroniques, il informe la personne concernée, dans la réponse à sa demande, des principales raisons qui motivent l'application de la limitation, de son droit de saisir le CEPD et de former un recours juridictionnel devant la Cour de justice de l'Union européenne.
3. Le CEPD peut différer, omettre ou refuser la communication d'informations sur les motifs de la limitation visée aux paragraphes 1 et 2 dès lors que cela priverait d'effet la limitation. Cette évaluation se fait au cas par cas.
Article 10
Entrée en vigueur
La présente décision entre en vigueur le jour de sa publication au Journal officiel de l'Union européenne.
Fait à Bruxelles, le 2 avril 2019
Par le Contrôleur européen de la protection des données
Giovanni BUTTARELLI
(1) JO L 295 du 21.11. 2018, p. 39.
(2) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).
(3) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).