1.   La présente décision définit les règles relatives aux conditions dans lesquelles l'Agence, dans le cadre des enquêtes administratives et des procédures disciplinaires, lors de la notification des cas à l'OLAF conformément au règlement (UE, Euratom) no 883/2013, peut limiter, en vertu de l'article 25 du règlement (UE) 2018/1725, l'application des droits consacrés aux articles 14 à 21, 35 et 36, ainsi qu'à l'article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 21.

2.   La présente décision s'applique à toutes les opérations de traitement de données à caractère personnel effectuées par l'Agence aux fins de la conduite des enquêtes administratives et des procédures disciplinaires, ainsi que de la réalisation des activités préliminaires liées à des cas d'irrégularités potentielles signalés à l'OLAF [suivant le règlement (UE, Euratom) no 883/2013], du traitement de cas de dénonciation des dysfonctionnements, du traitement de procédures (formelles et informelles) relatives aux cas de harcèlement, du traitement de plaintes internes et externes, de la réalisation d'audits internes et de la conduite d'enquêtes par le délégué à la protection des données conformément à l'article 45, paragraphe 2, du règlement (UE) 2018/1725, ainsi que d'enquêtes de sécurité (informatique) traitées en interne ou avec une participation externe (par exemple CERT-UE).

La présente décision devrait également s'appliquer aux activités d'assistance et de coopération réalisées par l'Agence en dehors de ses enquêtes administratives au profit d'autres institutions, organes et organismes de l'Union, aux autorités compétentes des États membres ainsi qu'aux organisations internationales pour la protection de leurs opérations de traitement.

En outre, la présente décision s'applique aux activités liées à la coopération avec les institutions et organes de l'UE, ainsi qu'à la transmission à ceux-ci d'informations concernant une enquête administrative ou une procédure disciplinaire, lorsque ces informations sont nécessaires pour que le destinataire puisse évaluer les motifs de l'ouverture d'une enquête ou d'une procédure formelle.

3.   L'Agence traite plusieurs catégories de données à caractère personnel, telles que les données d'identification, les données de contact et les données professionnelles. Les catégories de données concernées peuvent être des données objectives (par exemple informations administratives, numéro de téléphone, adresse privée, communications électroniques et données relatives au trafic) et/ou des données subjectives [par exemple rapports d'évaluation, ouverture d'enquêtes, rapports sur les enquêtes préliminaires, rapports/comptes rendus des déclarations de témoins et auditions d'enquête, activités sociales et comportement des membres du personnel, commentaires sur les aptitudes et l'efficacité du (des) membre(s) du personnel concerné(s), etc.].

4.   Les catégories de personnes concernées qui peuvent relever de la présente décision sont les membres du personnel et les anciens membres du personnel de l'Agence, c'est-à-dire les (anciens) agents, cadres/administrateurs, experts nationaux détachés et stagiaires, ainsi que les (anciens) contractants de l'Agence.

5.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s'appliquer aux droits suivants: fourniture d'informations et communication d'une violation des données à caractère personnel aux personnes concernées conformément aux articles 16 et 35 du règlement (UE) 2018/1725; droit d'accès de la personne concernée conformément à l'article 17 du règlement (UE) 2018/1725; droit de rectification, droit à l'effacement, limitation du traitement et notification de toute rectification ou de tout effacement conformément aux articles 18, 19, paragraphe 1, 20 et 21 du règlement (UE) 2018/1725.

1.   L'Agence européenne des médicaments, représentée par son directeur exécutif, est responsable de ces opérations de traitement en tant que responsable du traitement des données. En interne, le chef de la division «Administration et Direction générale» a été désigné pour agir par délégation en qualité de responsable du traitement des données dans le cadre des activités concernées par la présente décision. Si l'enquête administrative ou la procédure disciplinaire concerne le chef de la division «Administration et Direction générale», le directeur exécutif adjoint exerce la fonction de responsable du traitement pour l'enquête ou la procédure en question.

2.   Les données à caractère personnel sont conservées dans un fichier électronique et/ou sur support papier. Les garanties mises en place pour éviter les violations de données à caractère personnel, les fuites ou la divulgation non autorisée de données sont les suivantes:

3.   Les durées de conservation applicables sont les suivantes:

4.   Le risque pour les droits et libertés de la personne concernée peut entraîner des risques pour le droit au respect de la confidentialité des communications privées du membre du personnel, le droit à la liberté d'expression et d'information, le droit à la défense et le droit d'être entendu. Ces risques seront mis en balance avec les motifs et les finalités justifiant l'application des limitations prévues par la présente décision. Cette mise en balance doit être dûment documentée et être effectuée sur la base d'une analyse au cas par cas, afin de s'assurer qu'une limitation n'est appliquée que si elle est nécessaire et proportionnée et qu'elle respecte les règles établies dans la présente décision.

1.   En vertu de l'article 25, paragraphe 1, du règlement (UE) 2018/1725, une limitation n'est appliquée que pour garantir:

2.   Aux fins spécifiques de l'application des finalités énoncées au paragraphe 1 ci-dessus, l'Agence peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d'autres institutions, organes et organismes de l'Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:

Avant d'appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l'Agence consulte les services compétents de la Commission, les institutions, organes et organismes de l'Union ou les autorités compétentes des États membres à moins qu'il ne soit clair pour l'Agence que l'application d'une limitation est prévue par l'un des actes visés à ces points.

3.   Toute limitation doit être nécessaire et proportionnée dans une société démocratique et respecter l'essence des libertés et droits fondamentaux.

4.   Une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d'évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.

5.   Les limitations sont dûment suivies et un examen périodique est effectué tous les six mois, au plus tard, afin de vérifier si les conditions justifiant une limitation donnée sont toujours réunies.

6.   Les limitations sont levées dès que les conditions qui les justifient ne sont plus réunies, par exemple lorsque l'exercice des droits des personnes concernées (par exemple, la fourniture d'informations sur le traitement des données et l'accès au dossier) ne compromettrait plus la finalité de l'enquête ou de la procédure concernée.

1.   Le responsable du traitement (au nom de l'Agence) informe sans délai indu le DPD de l'Agence lorsqu'il limite l'application des droits des personnes concernées conformément à la présente décision, et il donne accès aux relevés et à la documentation de l'évaluation de la nécessité et de la proportionnalité de la limitation (y compris tous documents contenant des éléments factuels et juridiques sous-jacents). Cette exigence s'applique également à tout réexamen ultérieur de la limitation.

2.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l'application des limitations. L'Agence informe le DPD par écrit du résultat du réexamen demandé.

3.   Les échanges d'informations avec le DPD sont consignés et documentés par écrit pendant toute la durée de la procédure.

1.   L'Agence inclut dans la déclaration de confidentialité relative aux enquêtes administratives et aux procédures disciplinaires, publiée sur son intranet, les informations relatives à l'éventuelle limitation de ces droits. Ces informations portent sur les droits susceptibles d'être limités, les motifs de cette limitation ainsi que sa durée potentielle.

2.   En outre, l'Agence informe les personnes concernées individuellement, sans délai indu et par écrit, de leurs droits en ce qui concerne les limitations présentes ou à venir, sans préjudice des paragraphes suivants.

3.   Lorsque l'Agence limite, en tout ou en partie, la communication d'informations aux personnes concernées conformément à la présente décision, elle consigne dans un relevé les motifs de la limitation, assortis d'une évaluation de sa nécessité et de sa proportionnalité. À cette fin, le relevé précise la manière dont la communication des informations compromettrait la finalité de l'enquête ou de la procédure concernée, ou dont elle porterait atteinte aux droits et libertés d'autrui. Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.

4.   La limitation visée au paragraphe 3 continue de s'appliquer tant que les raisons la justifiant persistent. Lorsque les raisons justifiant cette limitation ne sont plus réunies, l'Agence communique à la personne concernée les informations en question et les motifs de la limitation. Les personnes concernées peuvent adresser toute question au DPD.

5.   Dans le même temps, l'Agence informe la personne concernée de la possibilité de saisir le Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.

6.   L'Agence examine l'application de la limitation tous les six mois à compter de son adoption et à la fin de la procédure.

1.   Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d'un ou de plusieurs cas spécifiques ou d'une opération de traitement particulière, conformément à l'article 17 du règlement (UE) 2018/1725, l'Agence limite son examen de la demande à ces seules données à caractère personnel.

2.   Lorsque l'Agence limite, en tout ou en partie, le droit d'accès visé à l'article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:

La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725.

3.   Le relevé mentionné au paragraphe 2, point b), et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande. L'article 25, paragraphe 7, du règlement (UE) 2018/1725 s'applique.

1.   Dans le cas où l'Agence limite la communication à la personne concernée d'une violation de données à caractère personnel, visée à l'article 35 du règlement (UE) 2018/1725, elle consigne et enregistre les raisons de cette limitation conformément à l'article 5, paragraphes 3 à 6, de la présente décision.

2.   Dans le cas où l'Agence limite le droit à la confidentialité des communications électroniques d'une personne concernée, visé à l'article 36 du règlement (UE) 2018/1725, elle consigne et enregistre les raisons de cette limitation conformément à l'article 5, paragraphes 3 à 6, de la présente décision.