Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32012Y0922(03)

    Décision du Comité européen du risque systémique du 13 juillet 2012 mettant en œuvre des dispositions relatives à la protection des données au Comité européen du risque systémique (CERS/2012/1)

    JO C 286 du 22.9.2012, p. 16–19 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Ce document a été publié dans des éditions spéciales (HR)

    Legal status of the document In force

    22.9.2012   

    FR

    Journal officiel de l'Union européenne

    C 286/16

    DÉCISION DU COMITÉ EUROPÉEN DU RISQUE SYSTÉMIQUE

    du 13 juillet 2012

    mettant en œuvre des dispositions relatives à la protection des données au Comité européen du risque systémique

    (CERS/2012/1)

    2012/C 286/11

    LE CONSEIL GÉNÉRAL DU COMITÉ EUROPÉEN DU RISQUE SYSTÉMIQUE,

    vu l’article 16 du traité sur le fonctionnement de l’Union européenne,

    vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (1), et notamment son article 24, paragraphe 8, et l’annexe y afférente,

    après consultation du Contrôleur européen de la protection des données,

    considérant ce qui suit:

    (1)

    Le règlement (CE) no 45/2001 établit les principes et règles applicables à toutes les institutions et à tous les organes de l’Union européenne et prévoit la désignation par chaque institution et organe communautaire d’un délégué à la protection des données.

    (2)

    En vertu de l’article 24, paragraphe 8, du règlement (CE) no 45/2001, chaque institution ou organe de l’Union doit adopter des dispositions complémentaires d’application concernant le délégué à la protection des données conformément aux dispositions figurant à l’annexe dudit règlement.

    (3)

    Il convient d’insérer des dispositions concernant les responsables du traitement des données et les coordinateurs de la protection des données dont les tâches et les fonctions sont liées à celles du délégué à la protection des données, ainsi que concernant la réglementation des droits des personnes concernées,

    A ADOPTÉ LA PRÉSENTE DÉCISION:

    SECTION 1

    DISPOSITIONS GÉNÉRALES

    Article premier

    Objet et champ d’application

    La présente décision établit les règles concernant:

    a)

    la désignation et le statut du délégué à la protection des données du Comité européen du risque systémique (CERS), ainsi que ses tâches, fonctions et compétences;

    b)

    les rôles, tâches et fonctions des responsables du traitement des données et des coordinateurs de la protection des données;

    c)

    l’exercice des droits des personnes concernées.

    Article 2

    Définitions

    Aux fins de la présente décision, on entend par:

    a)   «responsable du traitement»: un responsable d’une unité organisationnelle qui détermine les finalités et les moyens du traitement de données à caractère personnel;

    b)   «coordinateur de la protection des données»: un membre du personnel qui aide un responsable du traitement à s’acquitter de ses obligations en matière de protection de données. Cette personne sera un spécialiste de la gestion électronique de documents.

    SECTION 2

    DÉLÉGUÉ À LA PROTECTION DES DONNÉES

    Article 3

    Désignation, statut et questions organisationnelles

    1.   Le conseil général:

    a)

    désigne un délégué à la protection des données qui a un rang suffisamment élevé dans la hiérarchie pour satisfaire aux exigences de l’article 24 du règlement (CE) no 45/2001;

    b)

    fixe la durée du mandat du délégué à la protection des données à une période de deux à cinq ans.

    2.   Le conseil général veille à ce que le délégué à la protection des données puisse s’acquitter de ses tâches et exercer ses fonctions de manière indépendante. Sans préjudice de cette indépendance, les personnes chargées de l’évaluation du délégué à la protection des données consultent le Contrôleur européen de la protection des données avant de procéder à l’évaluation de la manière dont le délégué s’acquitte de ses tâches et exerce ses fonctions.

    3.   Le responsable du traitement concerné veille à ce que le délégué à la protection des données soit informé sans délai:

    a)

    lorsque se pose une question qui a ou qui pourrait avoir des implications en matière de protection des données; et

    b)

    de tout contact entre le CERS et des tiers au sujet de l’application du règlement (CE) no 45/2001 et, en particulier, de tout échange avec le Contrôleur européen de la protection des données.

    4.   Le conseil général peut désigner un délégué adjoint à la protection des données, auquel l’article 24, paragraphes 1, 2 et 6, du règlement (CE) no 45/2001, est applicable. Le délégué adjoint assiste le délégué dans l’accomplissement de ses tâches et l’exercice de ses fonctions, et le remplace en cas d’absence.

    5.   Tout membre du personnel assistant le délégué au sujet de questions liées à la protection des données n’agit que sur les instructions de celui-ci.

    6.   Le délégué à la protection des données peut être démis de ses fonctions, avec le consentement du Contrôleur européen de la protection des données, s’il ne remplit plus les conditions requises pour l’exercice de ses tâches et de ses fonctions.

    Article 4

    Tâches et fonctions du délégué à la protection des données

    Dans l’accomplissement des attributions visées à l’article 24 du règlement (CE) no 45/2001 et à l’annexe de ce règlement, le délégué à la protection des données s’acquitte des fonctions suivantes, en tenant compte des éléments fournis par le secrétariat du CERS:

    a)

    sensibiliser aux questions liées à la protection des données et encourager une culture de protection des données à caractère personnel au sein du CERS;

    b)

    conseiller le conseil général, le comité directeur, le secrétariat, le responsable du traitement et le coordinateur de la protection des données sur toute question concernant l’application de dispositions relatives à la protection des données au CERS. Le délégué peut être consulté par le conseil général, le comité directeur, le secrétariat, le responsable du traitement concerné ou par toute personne physique, sur toute question concernant l’interprétation ou l’application du règlement (CE) no 45/2001;

    c)

    coopérer avec le Contrôleur européen de la protection des données à la demande de ce dernier ou de sa propre initiative et répondre aux demandes que lui adresse le Contrôleur européen de la protection des données;

    d)

    déterminer si un traitement est susceptible de présenter des risques particuliers au sens de l’article 27 du règlement (CE) no 45/2001 et, par conséquent, doit faire l’objet d’un contrôle préalable. Si nécessaire, le délégué à la protection des données consulte le responsable du traitement concerné. En cas de doute quant à la nécessité d’un contrôle préalable, il consulte le Contrôleur européen de la protection des données, conformément à l’article 27, paragraphe 3, du règlement (CE) no 45/2001;

    e)

    à la demande du conseil général, du comité directeur, du secrétariat ou de toute personne physique, ou bien de sa propre initiative, examiner des questions et des faits directement en rapport avec ses tâches et ses fonctions et faire rapport à l’auteur de la demande. Le délégué à la protection des données examine les questions et les faits de manière impartiale et en respectant les droits de la personne concernée. Si le délégué l’estime opportun, il informe toutes les autres parties concernées en conséquence. Si l’auteur de la demande est une personne physique ou s’il agit au nom d’une personne physique, le délégué garantit, dans la mesure du possible, la confidentialité de la demande, à moins que la personne concernée ne consente sans la moindre ambiguïté à ce que la demande soit traitée différemment;

    f)

    coopérer avec les délégués à la protection des données des autres institutions et organes de l’Union, notamment par le biais d’un échange d’expérience et de savoir-faire et en représentant le CERS dans toute discussion relative à la protection des données, à l’exception des affaires portées devant un juge; et

    g)

    présenter un programme annuel de travail et un rapport annuel sur ses activités au conseil général et au Contrôleur européen de la protection des données.

    Article 5

    Compétences du délégué à la protection des données

    1.   Le délégué à la protection des données peut:

    a)

    demander au secrétariat du CERS un avis sur toute question se rapportant à ses tâches et fonctions de délégué;

    b)

    émettre un avis sur la licéité de tout traitement, en cours ou envisagé, ou sur toute question qui a trait à la notification des traitements;

    c)

    porter à l’attention du responsable du secrétariat du CERS tout manquement d’un membre du personnel aux obligations lui incombant au titre du règlement (CE) no 45/2001;

    d)

    accéder, à tout moment, aux données à caractère personnel qui font l’objet des opérations de traitement, ainsi qu’à tous les locaux, installations de traitement de données et supports d’information;

    e)

    intervenir chaque fois que le CERS établit des règles internes concernant la protection des données à caractère personnel;

    f)

    conserver une liste anonyme des demandes écrites formulées par les personnes concernées relatives à l’exercice de leurs droits;

    g)

    s’acquitter des autres tâches énoncées à l’annexe du règlement (CE) no 45/2001.

    2.   Sans préjudice des tâches et pouvoirs du responsable du traitement, le délégué à la protection des données a, le pouvoir de signer la correspondance qu’il rédige, dans la limite de son mandat.

    SECTION 3

    RESPONSABLE DU TRAITEMENT ET COORDINATEUR DE LA PROTECTION DES DONNÉES

    Article 6

    Tâches et fonctions des responsables du traitement et des coordinateurs de la protection des données

    1.   Les responsables du traitement veillent à ce que tous les traitements de données à caractère personnel qui sont effectués dans leur domaine de responsabilité soient conformes aux dispositions du règlement (CE) no 45/2001.

    2.   Lorsqu’ils s’acquittent de leur obligation d’aider le délégué à la protection des données et le Contrôleur européen de la protection des données dans l’exercice de leurs fonctions, les responsables du traitement leur fournissent des informations complètes, leur donnent accès aux données à caractère personnel et répondent à leurs questions dans un délai de vingt jours ouvrables à compter de la réception de la demande.

    3.   Les responsables du traitement informent en temps utile le délégué à la protection des données lorsqu’ils reçoivent une demande d’accès à, de rectification, de verrouillage ou d’effacement des données à caractère personnel, ou concernant le droit d’opposition de la personne concernée, ou bien une réclamation à propos de questions liées à la protection des données.

    4.   Sans préjudice des responsabilités des responsables du traitement:

    a)

    les coordinateurs de la protection des données aident les responsables du traitement à s’acquitter de leurs obligations, soit à la demande des responsables du traitement, soit de leur initiative propre. Dans ce cadre, les coordinateurs de la protection des données se concertent avec le personnel relevant des responsables du traitement, qui leur fournit toutes les informations nécessaires. Si le responsable du traitement concerné l’estime opportun, cela peut comporter l’accès à des données à caractère personnel traitées sous sa responsabilité;

    b)

    les coordinateurs de la protection des données aident le délégué à la protection des données:

    i)

    à identifier quel est le responsable du traitement des données à caractère personnel concerné;

    ii)

    à diffuser les conseils donnés par le délégué à la protection des données et à apporter un soutien au responsable du traitement, conformément aux instructions du délégué;

    iii)

    sur d’autres aspects du programme de travail du délégué à la protection des données, tel qu’il a été convenu par le délégué et les supérieurs des coordinateurs de la protection des données.

    Article 7

    Procédure de notification

    1.   Avant d’entreprendre de nouveaux traitements de données à caractère personnel, le responsable du traitement concerné en informe le délégué à la protection des données en utilisant l’interface en ligne, accessible sur le site internet du délégué à la protection des données qui est situé sur l’intranet du CERS. Tout traitement qui doit faire l’objet d’un contrôle préalable conformément à l’article 27, paragraphe 3, du règlement (CE) no 45/2001, est notifié suffisamment à l’avance afin de permettre au Contrôleur européen de la protection des données d’exercer ce contrôle préalable.

    2.   Le responsable du traitement concerné informe sans délai le délégué à la protection des données de toute modification concernant les informations qui ont déjà été notifiées au délégué.

    SECTION 4

    DROITS DES PERSONNES CONCERNÉES

    Article 8

    Registre

    Le registre tenu par le délégué à la protection des données en vertu de l’article 26 du règlement (CE) no 45/2001 sert de répertoire de tous les traitements de données à caractère personnel effectués au CERS. Les personnes concernées peuvent utiliser les informations contenues dans le registre afin d’exercer les droits que leur confèrent les articles 13 à 19 du règlement (CE) no 45/2001.

    Article 9

    Exercice des droits des personnes concernées

    1.   Outre leur droit d’être informées de manière adéquate de tout traitement de données à caractère personnel les concernant, les personnes concernées peuvent s’adresser au responsable du traitement concerné afin d’exercer les droits que leur confèrent les articles 13 à 19 du règlement (CE) no 45/2001, ainsi qu’il est précisé ci-dessous:

    a)

    ces droits ne peuvent être exercés que par la personne concernée ou par un représentant dûment mandaté. L’exercice de tous ces droits est gratuit pour ces personnes;

    b)

    les demandes visant à exercer un de ces droits sont adressées par écrit au responsable du traitement concerné. Celui-ci n’accède à la demande que si l’identité de son auteur, et éventuellement son aptitude à représenter la personne concernée, ont été établies de manière adéquate. Le responsable du traitement informe sans délai et par écrit la personne concernée de l’acceptation ou du rejet de sa demande. En cas de rejet de la demande, le responsable du traitement en indique les motifs dans sa réponse;

    c)

    à tout moment, dans un délai de trois mois à compter de la réception de la demande, le responsable du traitement permet à la personne concernée d’avoir accès à ces données conformément à l’article 13 du règlement (CE) no 45/2001, en l’autorisant à les consulter sur place ou à en recevoir copie, selon le souhait qu’elle aura exprimé;

    d)

    les personnes concernées peuvent s’adresser au délégué à la protection des données si le responsable du traitement ne respecte pas l’un des délais visés aux points b) ou c). En cas d’abus manifeste de ses droits par une personne concernée, le responsable du traitement peut soumettre son cas au délégué à la protection des données, qui se prononce alors sur le fond de la demande et sur la suite qu’il convient d’y donner. En cas de désaccord entre la personne concernée et le responsable du traitement, les deux parties ont le droit de s’adresser au délégué à la protection des données.

    2.   Les membres du personnel peuvent consulter le délégué à la protection des données avant de présenter une réclamation au Contrôleur européen de la protection des données.

    Article 10

    Exceptions et limitations

    1.   À condition que le délégué à la protection des données ait été consulté à l’avance, le responsable du traitement peut limiter l’exercice des droits visés aux articles 13 à 17 du règlement (CE) no 45/2001, pour les motifs et conformément aux conditions prévus à l’article 20 dudit règlement.

    2.   Toute personne concernée peut demander au Contrôleur européen de la protection des données d’appliquer l’article 47, paragraphe 1, point c), du règlement (CE) no 45/2001.

    Article 11

    Examen

    1.   Toute demande d’examen en application du point 1 de l’annexe du règlement (CE) no 45/2001 doit être adressée par écrit au délégué à la protection des données.

    2.   Le délégué à la protection des données envoie un accusé de réception au demandeur dans un délai de vingt jours ouvrables à compter de la réception de la demande.

    3.   Le délégué à la protection des données peut procéder à l’examen sur place et demander une déclaration écrite au responsable du traitement concerné. Celui-ci adresse sa réponse au délégué dans un délai de vingt jours ouvrables à compter de la réception de la demande de déclaration. Le délégué peut demander des informations supplémentaires ou solliciter l’aide du secrétariat. Ces informations ou cette aide sont accordées dans un délai de vingt jours ouvrables à compter de la réception de la demande de déclaration.

    4.   Le délégué à la protection des données fait rapport à la personne qui a demandé l’information dans un délai de trois mois calendaires à compter de la réception de la demande.

    SECTION 5

    ENTRÉE EN VIGUEUR

    Article 12

    Entrée en vigueur

    La présente décision entre en vigueur le vingtième jour qui suit sa publication au Journal officiel de l’Union européenne.

    Fait à Francfort-sur-le-Main, le 13 juillet 2012.

    Le président du CERS

    Mario DRAGHI

    (1)  JO L 8 du 12.1.2001, p. 1.

    Top