Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32019D0236

    Décision (UE) 2019/236 de la Commission du 7 février 2019 portant règles internes relatives à la communication d'informations aux personnes concernées et à la limitation, par la Commission européenne, de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins de la sécurité intérieure des institutions de l'Union

    C/2019/761

    JO L 37 du 8.2.2019, p. 144–149 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/dec/2019/236/oj

    Date of document:
    07/02/2019; Date d'adoption
    Date of effect:
    11/02/2019; entrée en vigueur date de publication +3 voir art. 9
    Date of end of validity:
    No end date
    Author:
    Commission européenne, Direction générale des ressources humaines et de la sécurité
    Responsible body:
    HR
    Form:
    Décision
    Treaty:
    Traité sur le fonctionnement de l’Union européenne
    Legal basis:
    Link
    Link
    Link
    Select all documents mentioning this document
    Instruments cited:
    Link

    8.2.2019   

    FR

    Journal officiel de l'Union européenne

    L 37/144

    DÉCISION (UE) 2019/236 DE LA COMMISSION

    du 7 février 2019

    portant règles internes relatives à la communication d'informations aux personnes concernées et à la limitation, par la Commission européenne, de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins de la sécurité intérieure des institutions de l'Union

    LA COMMISSION EUROPÉENNE,

    vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 249, paragraphe 1,

    considérant ce qui suit:

    (1)

    La Commission doit travailler dans un environnement sûr et sécurisé. Pour y parvenir, elle doit adopter, concernant sa sécurité, une approche cohérente et intégrée qui lui permet de garantir un niveau de protection adéquat pour les personnes, les biens et les informations, proportionnel aux risques recensés, et d'assurer la sécurité de manière efficace et en temps opportun. La Commission est confrontée à des menaces et défis majeurs dans le domaine de la sécurité, en particulier en ce qui concerne le terrorisme, les cyberattaques et l'espionnage politique et commercial.

    (2)

    Afin de garantir la sécurité des personnes, des biens et des informations, la Commission, notamment par l'intermédiaire de sa direction de la sécurité de la direction générale des ressources humaines et de la sécurité, prend des mesures conformément à la décision (UE, Euratom) 2015/443 (1) de la Commission qui nécessitent le traitement de différentes catégories de données à caractère personnel. Ces mesures comprennent la vérification des antécédents en vertu de l'article 7, paragraphe 5, des évaluations de la menace conformément à l'article 12 et des enquêtes de sécurité conformément à l'article 13 de la décision (UE, Euratom) 2015/443 de la Commission. Dans le cadre de son mandat d'enquête, la Commission collecte des informations utiles pour l'enquête, y compris des données à caractère personnel, provenant de différentes sources - les pouvoirs publics et des personnes physiques - et les échange avec d'autres institutions, organes et organismes de l'Union, avec les autorités compétentes des États membres et des pays tiers, ainsi qu'avec les organisations internationales avant, pendant et après l'enquête ou les activités de coordination.

    (3)

    Les catégories de données à caractère personnel traitées par la Commission sont, par exemple, des données d'identification, des données de contact, des données professionnelles et des données ayant trait à l'objet d'une vérification des antécédents, d'une évaluation de la menace ou d'une enquête de sécurité, ou fournies dans ce contexte. Les données à caractère personnel sont conservées dans un environnement électronique sécurisé afin d'empêcher tout accès ou transfert illicite de données à des personnes en dehors de la Commission. Les services de la Commission chargés de l'enquête conservent les données à caractère personnel jusqu'à la fin de celle-ci. Différentes durées de conservation s'appliquent aux différentes activités de traitement, en fonction de la catégorie de l'enquête, à savoir les cas de suspicion d'infractions pénales, le contre-espionnage ou l'antiterrorisme. À l'issue de la durée de conservation, les informations relatives à l'affaire, y compris les données à caractère personnel, sont supprimées (2).

    (4)

    Dans l'exercice de ses missions, la Commission, en tant que responsable du traitement, est tenue de respecter les droits des personnes physiques concernant le traitement des données à caractère personnel qui sont consacrés par l'article 8, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne et par l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, ainsi que les droits prévus par le règlement (UE) 2018/1725 du Parlement européen et du Conseil (3). Dans le même temps, la Commission est tenue de se conformer à des règles strictes de confidentialité telles que visées à l'article 9 de la décision (UE, Euratom) 2015/443.

    (5)

    Dans certaines circonstances, il est nécessaire de concilier les droits des personnes concernées prévus par le règlement (UE) 2018/1725 avec la nécessité de garantir que la Commission exerce efficacement ses tâches consistant à assurer la sécurité des personnes, des biens et des informations au sein de la Commission en vertu de la décision (UE, Euratom) 2015/443, en particulier ses enquêtes de sécurité, ainsi qu'avec le plein respect des droits fondamentaux et libertés d'autres personnes concernées. À cet effet, l'article 25, paragraphe 1, points c), d) et h), du règlement (UE) 2018/1725 donne à la Commission la possibilité de limiter l'application des articles 14 à 17, 19, 20 et 35, ainsi que du principe de transparence établi à l'article 4, paragraphe 1, point a), dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19 et 20 dudit règlement.

    (6)

    Afin de garantir que la Commission exerce efficacement ses tâches consistant à assurer la sécurité des personnes, des biens et des informations au sein de la Commission en vertu de la décision (UE, Euratom) 2015/443, en particulier ses enquêtes de sécurité, tout en respectant les normes en matière de protection des données à caractère personnel prévues par le règlement (UE) 2018/1725, il est nécessaire d'adopter des règles internes en vertu desquelles la Commission pourrait limiter les droits des personnes concernées conformément à l'article 25, paragraphe 1, point c), d) et h) du règlement (UE) 2018/1725.

    (7)

    Ces règles internes devraient s'appliquer à toutes les opérations de traitement effectuées par la Commission aux fins de l'exécution de ses tâches consistant à assurer la sécurité des personnes, des biens et des informations au sein de la Commission en vertu de la décision (UE, Euratom) 2015/443, en particulier sa fonction d'enquête dans le domaine de la sécurité. Ces règles devraient s'appliquer aux opérations de traitement effectuées avant l'ouverture d'une enquête, au cours des enquêtes et lors du contrôle du suivi du résultat des enquêtes.

    (8)

    Afin de se conformer aux articles 14, 15 et 16 du règlement (UE) 2018/1725, la Commission devrait informer toutes les personnes concernées de ses activités impliquant le traitement de leurs données à caractère personnel. Elle devrait aussi les informer de leurs droits, de manière transparente et cohérente, sous la forme d'avis relatifs à la protection des données publiés sur son site internet.

    (9)

    La Commission devrait par ailleurs informer individuellement, sous une forme appropriée, les personnes concernées par une enquête de sécurité, c'est-à-dire les personnes concernées et les témoins. La Commission devrait par ailleurs informer individuellement les personnes dont les données sont traitées dans le contexte des mesures de sécurité prises au titre de l'article 7, paragraphe 5, et de l'article 12, paragraphe 1, points d) et e), de la décision (UE, Euratom) 2015/443 de la Commission, à savoir la fouille des locaux de la Commission et l'examen des systèmes d'information et de communication et des équipements.

    (10)

    Sur la base de l'article 25 du règlement (UE) 2018/1725, il peut être nécessaire que la Commission limite la communication d'informations aux personnes concernées et l'exercice d'autres droits des personnes concernées de façon à protéger, en particulier, une enquête de sécurité, ses outils et méthodes d'enquête, les enquêtes et procédures de sécurité d'autres autorités publiques, ainsi que les droits des autres personnes liées à cette enquête de sécurité et à ces enquêtes et/ou procédures.

    (11)

    Dans certains cas, la communication d'informations particulières à des personnes concernées ou la révélation de l'existence d'une enquête ou de mesures de sécurité prises en vertu de l'article 12, paragraphe 1, points d) et e), de la décision (UE, Euratom) 2015/443 de la Commission, à savoir la fouille des locaux de la Commission et l'examen des systèmes d'information et de communication et des équipements, pourrait rendre impossible ou compromettre gravement l'objectif de l'enquête et la capacité de la Commission à assurer sa sécurité et, notamment, à mener des enquêtes de sécurité de manière efficace à l'avenir.

    (12)

    En outre, dans un souci d'efficacité de la coopération, comme indiqué à l'article 17, paragraphes 2 et 3, de la décision (UE, Euratom) 2015/443, la Commission peut être amenée à limiter l'application des droits des personnes concernées afin de protéger les opérations de traitement effectuées par d'autres institutions, organes et organismes de l'Union ou par des autorités compétentes des États membres. À cet effet, la Commission devrait consulter ces institutions, organes, organismes et autorités sur les motifs pertinents justifiant l'application de limitations ainsi que sur la nécessité et la proportionnalité de ces dernières.

    (13)

    La Commission peut également être amenée à limiter la communication d'informations aux personnes concernées ainsi que l'application d'autres droits des personnes concernées en ce qui concerne les données à caractère personnel reçues de pays tiers ou d'organisations internationales, afin de s'acquitter de son devoir de coopération avec ces pays ou organisations et de protéger ainsi un objectif important d'intérêt public général de l'Union. Toutefois, dans certains cas, l'intérêt ou les droits fondamentaux de la personne concernée peuvent prévaloir sur l'intérêt de la coopération internationale.

    (14)

    La Commission devrait traiter toutes les limitations de manière transparente et enregistrer chaque cas de limitation dans le registre correspondant.

    (15)

    Conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725, les responsables du traitement peuvent omettre ou refuser de communiquer à la personne concernée des informations sur les motifs justifiant l'application d'une limitation ou différer la communication de ces informations si celle-ci risque de compromettre d'une quelconque manière la finalité de la limitation. C'est, en particulier, le cas des limitations des droits prévus aux articles 16 et 35 du règlement (UE) 2018/1725.

    (16)

    La Commission devrait réexaminer à intervalles réguliers les limitations imposées afin de veiller à ce que les droits de la personne concernée à être informée conformément aux articles 16 et 35 du règlement (UE) 2018/1725 ne soient limités qu'aussi longtemps que ces limitations sont nécessaires pour permettre à la Commission d'assurer sa sécurité et, notamment, de mener ses enquêtes de sécurité.

    (17)

    Lorsque d'autres droits des personnes concernées sont limités, le responsable du traitement devrait évaluer au cas par cas si la communication de la limitation risque de compromettre sa finalité.

    (18)

    Le délégué à la protection des données de la Commission devrait procéder à un examen indépendant de l'application des limitations afin de garantir le respect de la présente décision.

    (19)

    Le contrôleur européen de la protection des données a rendu son avis le 10 décembre 2018.

    A ADOPTÉ LA PRÉSENTE DÉCISION:

    Article premier

    Objet et champ d'application

    1.   La présente décision établit les règles que la Commission doit suivre pour informer les personnes concernées du fait que leurs données seront traitées conformément aux articles 14, 15 et 16 du règlement (UE) 2018/1725 lorsqu'elle exerce l'ensemble des tâches qui lui sont confiées en vertu de la décision (UE, Euratom) 2015/443.

    Elle fixe également les conditions dans lesquelles la Commission peut limiter l'application des articles 4, 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, conformément à l'article 25, paragraphe 1, points c), d) et h), dudit règlement.

    2.   La présente décision s'applique aux opérations de traitement de données à caractère personnel effectuées par la Commission aux fins des activités qu'elle mène pour assurer la sécurité des personnes, des biens et des informations au sein de la Commission en vertu de la décision (UE, Euratom) 2015/443, ou en relation avec ces activités.

    Article 2

    Exceptions et limitations applicables

    1.   Lorsque la Commission exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l'une des exceptions établies dans ledit règlement s'applique.

    2.   Sous réserve des articles 3 à 7 de la présente décision, la Commission peut limiter l'application des articles 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, ainsi que du principe de transparence établi à l'article 4, paragraphe 1, point a), dudit règlement dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19 et 20 du règlement (UE) 2018/1725, dans le cas où l'exercice de ces droits et obligations compromettrait la sécurité intérieure des institutions, organes et organismes de l'Union, y compris de leurs réseaux de communications électroniques, entre autres en révélant ses outils et ses méthodes d'enquête dans le contexte des enquêtes de sécurité, ou porterait atteinte aux droits et libertés d'autres personnes concernées.

    3.   Sous réserve des articles 3 à 7, la Commission peut limiter les droits et obligations visés au paragraphe 2 du présent article en ce qui concerne les données à caractère personnel obtenues auprès d'autres institutions, organes et organismes de l'Union, d'autorités compétentes d'États membres ou de pays tiers ou d'organisations internationales, et ce dans les cas suivants:

    (a)

    lorsque l'exercice de ces droits et obligations pourrait être limité par d'autres institutions, organes et organismes de l'Union sur la base d'autres actes prévus à l'article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement, ou en conformité avec le règlement (UE) 2016/794 du Parlement européen et du Conseil (4) ou le règlement (UE) 2017/1939 du Conseil (5);

    (b)

    lorsque l'exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l'article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (6) ou en vertu de mesures nationales transposant l'article 13, paragraphe 3, l'article 15, paragraphe 3, ou l'article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (7);

    (c)

    lorsque l'exercice de ces droits et obligations pourrait compromettre la coopération de la Commission avec des pays tiers ou des organisations internationales en ce qui concerne les échanges d'informations sur les menaces potentielles liées au contre-espionnage et à la lutte contre le terrorisme, ainsi que dans le cadre de ses enquêtes de sécurité.

    Avant d'appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, la Commission consulte les institutions, organes ou organismes concernés de l'Union ou les autorités compétentes des États membres, à moins qu'il ne soit manifeste pour elle que l'application d'une limitation est prévue par l'un des actes visés à ces points, ou que cette consultation compromettrait la finalité de ses activités au titre de la décision (UE, Euratom) 2015/443.

    Le point c) du premier alinéa du présent paragraphe ne s'applique pas lorsque les intérêts ou les libertés et droits fondamentaux des personnes concernées prévalent sur l'intérêt de la Commission à coopérer avec des pays tiers ou des organisations internationales.

    4.   Les paragraphes 1, 2 et 3 sont sans préjudice de l'application d'autres décisions de la Commission établissant des règles internes en ce qui concerne la communication d'informations aux personnes concernées et la limitation de certains droits en vertu de l'article 25 du règlement (UE) 2018/1725 et de l'article 23 du règlement intérieur de la Commission.

    Article 3

    Communication d'informations aux personnes concernées

    1.   La Commission publie sur son site internet des avis relatifs à la protection des données informant toutes les personnes concernées des activités qu'elle exerce afin de s'acquitter de ses tâches en vertu de la décision (UE, Euratom) 2015/443, qui nécessitent le traitement de leurs données à caractère personnel.

    2.   La Commission informe individuellement, sous une forme appropriée, les témoins et les personnes concernées par une enquête de sécurité du traitement de leurs données à caractère personnel. Elle informe également individuellement les personnes dont les données sont traitées dans le contexte des mesures de sécurité prises au titre de l'article 7, paragraphe 5, et de l'article 12, paragraphe 1, points d) et e), de la décision (UE, Euratom) 2015/443 de la Commission, à savoir la fouille des locaux de la Commission et l'examen des systèmes d'information et de communication et des équipements.

    3.   Lorsque la Commission limite, totalement ou partiellement, la communication des informations aux personnes concernées visées au paragraphe 2 du présent article, elle enregistre et consigne dans un registre les motifs de la limitation conformément à l'article 6 de la présente décision.

    Article 4

    Droit d'accès des personnes concernées, droit à l'effacement et droit à la limitation du traitement

    1.   Lorsque la Commission limite, entièrement ou partiellement, le droit d'accès des personnes concernées aux données, le droit à l'effacement ou le droit à la limitation du traitement prévus respectivement aux articles 17, 19 et 20 du règlement (UE) 2018/1725, elle informe la personne concernée, dans sa réponse à la demande d'accès, d'effacement ou de limitation du traitement, de la limitation appliquée et de ses principaux motifs, et de la possibilité d'introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.

    2.   La communication des informations relatives aux motifs de la limitation visée au paragraphe 1 du présent article peut être différée, omise ou refusée aussi longtemps que ces informations risquent de nuire à la finalité de la limitation.

    3.   La Commission enregistre et consigne dans un registre les motifs de la limitation conformément à l'article 6 de la présente décision.

    4.   Lorsque le droit d'accès est entièrement ou partiellement limité, la personne concernée exerce son droit d'accès par l'intermédiaire du Contrôleur européen de la protection des données, conformément à l'article 25, paragraphes 6, 7 et 8, du règlement (UE) 2018/1725.

    Article 5

    Communication aux personnes concernées d'une violation de données à caractère personnel

    Lorsque la Commission limite la communication à la personne concernée d'une violation de données à caractère personnel, telle que visée à l'article 35 du règlement (UE) 2018/1725, elle enregistre et consigne dans un registre les motifs de la limitation conformément à l'article 6 de la présente décision.

    Article 6

    Enregistrement des limitations et consignation dans un registre

    1.   La Commission enregistre les motifs de toute limitation appliquée en vertu de la présente décision, y compris une évaluation de la nécessité et de la proportionnalité de la limitation, en tenant compte des éléments pertinents visés à l'article 25, paragraphe 2, du règlement (UE) 2018/1725.

    À cette fin, l'enregistrement indique de quelle manière l'exercice du droit concerné risque de compromettre la finalité des tâches de la Commission en vertu de la décision (UE, Euratom) 2015/443 ou des limitations appliquées en vertu de l'article 2, paragraphe 2 ou 3, ou de porter atteinte aux droits et libertés d'autres personnes concernées.

    2.   L'enregistrement et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.

    Article 7

    Durée des limitations

    1.   Les limitations visées aux articles 3, 4 et 5 de la présente décision continuent de s'appliquer aussi longtemps que les motifs qui les justifient restent valables.

    2.   Lorsque les motifs d'une limitation visée à l'article 3 ou 5 de la présente décision cessent de s'appliquer, la Commission lève la limitation et communique les motifs de cette dernière à la personne concernée. Dans le même temps, elle informe la personne concernée de la possibilité de déposer une plainte auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.

    3.   La Commission réexamine l'application de la limitation visée aux articles 4 et 6 tous les six mois à compter de son adoption et à la clôture de l'enquête concernée. Par la suite, la Commission vérifie chaque année la nécessité de maintenir la limitation ou le report.

    Article 8

    Réexamen par le Contrôleur européen de la protection des données

    1.   Le délégué à la protection des données de la Commission est informé sans délai chaque fois que les droits des personnes concernées sont limités conformément à la présente décision. Il obtient sur demande l'accès à l'enregistrement et à tout document contenant des éléments factuels et juridiques sous-jacents.

    2.   Le délégué à la protection des données de la Commission peut demander un réexamen de la limitation. Il est informé du résultat du réexamen demandé.

    3.   Les échanges d'information avec le délégué à la protection des données tout au long de la procédure sont enregistrés sous la forme appropriée.

    Article 9

    La présente décision entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

    Fait à Bruxelles, le 7 février 2019.

    Par la Commission

    Le président

    Jean-Claude JUNCKER

    (1)  Décision (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission (JO L 72 du 17.3.2015, p. 41).

    (2)  La conservation des dossiers au sein de la Commission est régie par la liste commune de conservation [la dernière version est le document SEC(2012) 713], un document à valeur réglementaire structuré comme un tableau de gestion qui définit la durée de conservation des différentes catégories de dossiers de la Commission.

    (3)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

    (4)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

    (5)  Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).

    (6)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

    (7)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

    Top