22.7.2008

FR

Journal officiel de l'Union européenne

L 193/7

---

DÉCISION DE LA COMMISSION

du 3 juin 2008

portant adoption de dispositions d’application relatives au délégué à la protection des données, conformément à l’article 24, paragraphe 8, du règlement (CE) no 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données

(2008/597/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (1), et notamment son article 24, paragraphe 8, et son annexe,

considérant ce qui suit:

(1)	Le règlement (CE) no 45/2001, ci-après dénommé le «règlement», fixe les principes et les règles applicables à l’ensemble des institutions et organes communautaires et prévoit que chaque institution ou organe communautaire désigne un délégué à la protection des données.

(2)

L’article 24, paragraphe 8, du règlement dispose que chaque institution ou organe communautaire adopte des dispositions d’application complémentaires concernant le délégué à la protection des données, conformément aux dispositions figurant à l’annexe. Ces dispositions complémentaires concernent en particulier les tâches, les fonctions et les compétences du délégué à la protection des données.

(3)	La décision C(2002) 510 de la Commission (2) du 18 février 2002 crée le poste de délégué à la protection des données pour la Commission et charge ce dernier de proposer des dispositions d’application complémentaires, après consultation des directions générales, selon leurs besoins et expériences,

DÉCIDE:

SECTION 1

DISPOSITIONS GÉNÉRALES

Article premier

Définitions

Aux fins de la présente décision et sans préjudice des définitions contenues dans le règlement, on entend par:

—	«coordinateur de la protection des données» (ci-après dénommé «CPD»): le membre du personnel d’une direction générale ou d’un service, chargé par le directeur général de coordonner tous les aspects de la protection des données à caractère personnel au sein de la direction générale,

—	«responsable du traitement» au sens de l’article 2, point d), et de l’article 25, paragraphe 2, point a): le fonctionnaire responsable de l’unité organisationnelle qui a déterminé les finalités et les moyens du traitement des données à caractère personnel.

Article 2

Champ d’application

La présente décision définit les règles et les procédures qui régissent l’exercice de la fonction de délégué à la protection des données (ci-après dénommé «DPD») au sein de la Commission, conformément à l’article 24, paragraphe 8, du règlement. Elle ne s’applique pas aux activités de la Commission qui ont trait à la définition des politiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

SECTION 2

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 3

Nomination et statut

1.   La Commission nomme le DPD (3) et en avise le contrôleur européen de la protection des données (ci-après dénommé «CEPD»).

2.   Le mandat du DPD est de cinq ans, renouvelable une fois.

3.   Le DPD assure, d’une manière indépendante, l’application interne des dispositions du règlement et ne peut recevoir aucune consigne pour l’exercice de ses fonctions.

4.   Le DPD est choisi parmi le personnel de la Commission conformément aux procédures applicables. Outre les compétences énoncées à l’article 24, paragraphe 2, du règlement, le DPD doit posséder une connaissance approfondie des services de la Commission et de leur structure ainsi que des règles et des procédures administratives. Il doit avoir une bonne connaissance des systèmes, des principes et des méthodes utilisés dans le domaine de la protection des données et de l’information. Il doit pouvoir faire preuve de discernement et rester impartial et objectif, comme le prévoit le statut du personnel.

5.   Conformément au règlement, le DPD qui ne remplit plus les conditions requises pour l’exercice de ses fonctions, ne peut être démis de ses fonctions par la Commission qu’avec le consentement du contrôleur européen de la protection des données (CEPD). La Commission, sur proposition du secrétaire général et en accord avec le directeur général responsable du personnel et de l’administration, constate que le DPD ne remplit plus les conditions requises pour l’exercice de ses tâches.

6.   Sans préjudice des dispositions applicables du règlement, le DPD et son personnel sont soumis aux règles et réglementations applicables aux fonctionnaires des Communautés européennes.

Article 4

Tâches

1.   Sans préjudice des tâches décrites à l’article 24 du règlement et dans son annexe, le DPD contribue à la création d’une culture de protection des données à caractère personnel au sein de la Commission par des actions de sensibilisation générale aux questions de protection des données, tout en maintenant un juste équilibre entre les principes de protection des données à caractère personnel et de transparence.

2.   Le DPD gère un inventaire de toutes les opérations de traitement de données à caractère personnel de la Commission dans lequel les CPD font figurer toutes les opérations de traitement de leur DG qui doivent être notifiées. Les CPD indiquent également quel est le responsable de ces opérations de traitement. Le DPD aide le responsable à évaluer le risque présenté par les opérations de traitement effectuées sous sa responsabilité et à suivre la mise en œuvre du règlement au sein de la Commission, au moyen en particulier d’un rapport annuel sur la situation en matière de protection des données.

3.   Le DPD organise et préside les réunions périodiques du réseau de CPD.

4.   Le DPD fait en sorte que le registre des traitements, visé à l’article 26 du règlement, puisse être consulté sur les sites web internes et externes de la Commission.

5.   Le DPD peut adresser des recommandations et des conseils à la Commission et aux responsables des traitements sur des questions touchant à l’application des dispositions en matière de protection des données et il peut, sur demande ou de sa propre initiative, examiner des questions et des faits qui sont de son ressort direct et faire rapport à la personne qui a demandé cet examen, conformément à la procédure décrite à l’article 13 ci-dessous. Si l’auteur de la demande est une personne physique ou représente une personne physique, le DPD doit, dans toute la mesure du possible, garantir la confidentialité de la demande, sauf si la personne concernée consent expressément à ce qu’il en aille différemment.

6.   Le traitement des données à caractère personnel par les comités du personnel relève de la compétence du DPD de la Commission. Aux fins de l’article 6 ci-dessous, le DPD fournit les informations utiles au président du comité du personnel concerné et non au secrétaire général, lorsqu’une question concernant des opérations de traitement par le comité du personnel concerné se pose.

7.   Sans préjudice de l’indépendance du DPD, le secrétaire général, au nom de la Commission, peut lui demander de représenter l’institution pour toutes les questions relatives à la protection des données, ce qui peut inclure sa participation aux comités et aux organes compétents au niveau international.

Article 5

Fonctions

1.   Outre les tâches générales qui lui incombent, le DPD est chargé de:

a)

présenter à la Commission un rapport annuel sur la situation en matière de protection des données, adressé au secrétaire général et au directeur général responsable du personnel et de l’administration, pour examen au niveau approprié, par exemple lors de la réunion périodique des directeurs généraux; ce rapport peut être consulté par le personnel de la Commission;

b)	coopérer dans l’exercice de ses fonctions avec les DPD des autres institutions et organes, en particulier en procédant à un échange d’expérience et de meilleures pratiques.

2.   Pour les opérations de traitement de données relevant de sa compétence, le DPD a qualité de responsable du traitement.

Article 6

Compétences

Dans l’exercice de ses tâches et de ses fonctions et sans préjudice des compétences que lui confère le règlement, le DPD peut:

a)	demander des avis au service juridique de la Commission;

b)	en cas de conflit concernant l’interprétation ou la mise en œuvre du règlement, en informer l’autorité hiérarchique compétente et le secrétaire général avant de saisir le CEPD;

c)

porter à l’attention du secrétaire général: — tout manquement d’un membre du personnel aux obligations lui incombant au titre du règlement, — tout manquement des responsables du traitement aux obligations de respect des normes de contrôle interne de la Commission qui concernent plus spécifiquement les obligations prévues par le règlement, et proposer l’ouverture d’une enquête administrative en vue de l’application éventuelle de l’article 49 du règlement,

d)	examiner des questions et des faits qui sont directement en rapport avec ses tâches, en appliquant les principes appropriés qui régissent les enquêtes et les audits à la Commission ainsi que la procédure décrite à l’article 13 de la présente décision,

e)	accéder, à tout moment, aux données qui font l’objet des opérations de traitement, ainsi qu’à tous les locaux, installations de traitement de données et supports d’information.

Article 7

Ressources

La Commission dote le DPD des ressources nécessaires à l’accomplissement de ses fonctions.

SECTION 3

RÈGLES ET PROCÉDURES

Article 8

Information

1.   Chaque fois qu’une question ayant une incidence sur la protection des données est examinée par les services de la Commission, le DPD en est informé immédiatement par le service chef de file et, au plus tard, avant l’adoption d’une décision.

2.   Lorsque la Commission consulte et informe le CEPD en application des articles concernés du règlement, en particulier l’article 28, paragraphe 1, et l’article 28, paragraphe 2, le DPD en est tenu informé. Il est également informé des échanges directs qui ont lieu entre les responsables du traitement de la Commission et le CEPD conformément aux articles applicables du règlement.

3.   Le DPD est informé par le service chef de file ou par le service juridique, selon le cas, des avis et des prises de position du service juridique qui ont directement trait à l’application interne des dispositions du règlement, ainsi que des avis qui portent sur l’interprétation ou la mise en œuvre d’autres actes juridiques qui concernent la protection des données à caractère personnel et leur traitement, plus particulièrement dans le cadre de la consultation interservices, ainsi que l’accès à l’information.

Article 9

Responsables du traitement

1.   Sans préjudice des dispositions du règlement relatives à leurs obligations, les responsables du traitement:

a)	notifient sans tarder au DPD toutes les opérations de traitement qui ne l’ont pas encore été;

b)	le cas échéant, consultent le DPD sur la conformité des opérations de traitement, en particulier s’il existe un doute quant à cette conformité;

c)	coopèrent avec le DPD en vue de dresser l’inventaire des opérations de traitement effectuées sur des données à caractère personnel de la direction générale.

2.   Le responsable du traitement peut déléguer certaines parties de ses attributions à d’autres personnes qui agissent en tant que responsables délégués sous son autorité et sa responsabilité.

Article 10

Sous-traitants

Les sous-traitants au sein de la Commission qui sont chargés de traiter des données à caractère personnel pour le compte des responsables du traitement n’agissent que sur instructions de ces derniers, qui sont consignées dans un accord écrit, et traitent ces données à caractère personnel dans le strict respect du règlement et de toute autre législation applicable sur la protection des données. Un accord écrit entre entités organisationnelles de la Commission équivaut à un acte juridiquement contraignant au sens de l’article 23, paragraphe 2, du règlement.

Des contrats formels sont conclus avec des sous-traitants externes; ils contiennent les exigences spécifiques énoncées à l’article 23, paragraphe 2, du règlement.

Article 11

Notifications

Les responsables du traitement adressent leurs notifications au DPD par l’intermédiaire du système de notification en ligne de la Commission qui est accessible sur le site web du DPD, lequel se trouve sur l’intranet de la Commission.

Pour les traitements simples de données à caractère personnel non sensibles, une notification simplifiée est prévue.

Article 12

Registre

Le registre électronique des opérations de traitement effectuées par la Commission, visé à l’article 4, paragraphe 4, ci-dessus, peut être consulté par l’ensemble du personnel des institutions et organes communautaires, à partir du site web du DPD sur l’intranet de la Commission et par toute personne ayant accès à l’internet, sur le site web Europa. Des extraits de ce registre peuvent être obtenus par les personnes n’ayant pas accès à l’internet, sur demande écrite au DPD qui répond dans un délai de dix jours ouvrables.

Article 13

Procédure d’examen

1.   Les demandes d’examen visées à l’article 4, paragraphe 5, ci-dessus sont adressées au DPD par écrit. Dans les quinze jours qui suivent la réception de la demande, le DPD envoie un accusé de réception au demandeur et vérifie si cette demande doit faire l’objet d’un traitement confidentiel. En cas d’abus manifeste du droit d’examen, le DPD n’est pas tenu de faire rapport au demandeur.

2.   Le DPD demande au responsable du traitement des données considérées une déclaration écrite sur la question. Ce dernier lui répond dans les quinze jours. Il est possible que le DPD souhaite recevoir, dans les quinze jours, des informations complémentaires de sa part et/ou d’autres parties. Le cas échéant, il peut demander l’avis du service juridique sur la question. Cet avis lui est communiqué dans les trente jours.

3.   Le DPD fait rapport à la personne ayant demandé l’examen trois mois au plus tard après réception de la demande. Ce délai peut être suspendu jusqu’à ce que le DPD ait obtenu les informations complémentaires qu’il a pu demander.

4.   Nul ne doit subir de préjudice pour avoir porté à l’attention du DPD un fait dont il allègue qu’il constitue une violation des dispositions du règlement.

Article 14

Coordinateurs de la protection des données

1.   Un CPD est nommé dans chaque direction générale ou service par le directeur général ou le chef de service. Sur la base d’un accord écrit, plusieurs directions générales, services ou bureaux peuvent, par souci de cohérence ou d’efficacité, décider de nommer un CPD commun ou de se partager les services d’un CPD déjà nommé.

2.   La fonction de CPD peut, le cas échéant, se combiner avec d’autres fonctions. Pour acquérir les compétences nécessaires à l’exercice de ses fonctions, le CPD doit suivre une formation obligatoire dans les six mois qui suivent sa désignation.

3.   La durée du mandat du CPD n’est pas limitée. Il doit être choisi, au niveau hiérarchique approprié, pour son haut niveau d’éthique professionnelle, ses connaissances et son expérience du fonctionnement de sa direction générale et sa motivation pour cette fonction. Il doit posséder une bonne connaissance des principes qui régissent les systèmes d’information.

4.   Sans préjudice de ses obligations à l’égard du DPD, le CPD:

a)

dresse un inventaire des opérations de traitement effectuées dans la direction générale, le tient à jour et contribue à définir un niveau de risque approprié pour chacune de ces opérations; il utilise le système en ligne de gestion de l’inventaire pour les CPD mis en place à cette fin par le DPD sur son site web sur l’Intranet de la Commission;

b)	aide le directeur général ou le chef du service à identifier les responsables respectifs du traitement;

c)	a le droit d’obtenir des responsables du traitement les informations utiles et appropriées mais ne peut en revanche avoir accès aux données à caractère personnel traitées sous la responsabilité de ces derniers.

5.   Sans préjudice de ses obligations à l’égard du responsable du traitement, le CPD:

a)	aide les responsables du traitement à respecter leurs obligations légales;

b)	les aident à établir des notifications;

c)	introduisent les notifications simplifiées dans le système de notification en ligne du DPD.

6.   Le CPD participe aux réunions périodiques du réseau de CPD, présidé par le DPD, afin de garantir une mise en œuvre et une interprétation cohérentes du règlement à la Commission et d’examiner des questions d’intérêt commun.

7.   Pour l’exécution de ses tâches, le CPD peut solliciter une recommandation, un conseil ou un avis du DPD.

Article 15

Administration et gestion

1.   Le DPD est rattaché administrativement au secrétariat général et ses activités sont intégrées dans le processus d’établissement et de gestion du budget par activités qui relève de l’activité 7 du secrétariat général: relations avec la société civile, transparence et information. Dans ce cadre, le DPD participe à la préparation du plan de gestion annuel et de l’avant-projet de budget du secrétariat général.

2.   Le DPD est l’évaluateur pour le personnel de son secrétariat et le délégué adjoint à la protection des données. Le secrétaire général adjoint est le validateur.

3.   Le DPD participe s’il y a lieu à la coordination de la gestion du secrétariat général.

SECTION 4

DISPOSITIONS FINALES

Article 16

Entrée en vigueur

La présente décision entre en vigueur le 3 juin 2008.

---

(1)  JO L 8 du 12.1.2001, p. 1.

(2)  Non encore publiée au Journal officiel.

(3)  Dans le présent document, l’utilisation du masculin par convention («délégué à la protection des données») ne préjuge en rien du sexe de la personne qui sera désignée à cette fonction.

---