Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32021Q0427(01)

    Décision du comité de direction de l’Agence exécutive du Conseil européen de la recherche du 11 décembre 2020 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par l’Agence exécutive du Conseil européen de la recherche

    JO L 144 du 27.4.2021, p. 35–44 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/proc_rules/2021/427/oj

    27.4.2021   

    FR

    Journal officiel de l’Union européenne

    L 144/35

    DÉCISION DU COMITÉ DE DIRECTION DE L’AGENCE EXÉCUTIVE DU CONSEIL EUROPÉEN DE LA RECHERCHE

    du 11 décembre 2020

    portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par l’Agence exécutive du Conseil européen de la recherche

    LE COMITÉ DE DIRECTION DE L’AGENCE EXÉCUTIVE DU CONSEIL EUROPÉEN DE LA RECHERCHE,

    vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 249, paragraphe 1,

    vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1) [le «règlement (UE) 2018/1725»], et notamment son article 25,

    vu le règlement (CE) no 58/2003 du Conseil du 19 décembre 2002 portant statut des agences exécutives chargées de certaines tâches relatives à la gestion de programmes communautaires (2),

    vu la décision d’exécution C(2013)9048 de la Commission instituant l’Agence exécutive du Conseil européen de la recherche et abrogeant la décision 2008/37/CE (3),

    après consultation du contrôleur européen de la protection des données,

    considérant ce qui suit:

    (1)

    L’Agence exécutive du Conseil européen de la recherche (l’«Agence») a été instituée par la décision C(2013)9048 de la Commission en vue de l’exécution de tâches liées à la mise en œuvre de programmes de l’Union en matière de recherche exploratoire et comprenant notamment l’exécution de crédits inscrits au budget général de l’Union (4).

    (2)

    Dans le cadre de son fonctionnement administratif et opérationnel, l’Agence est habilitée à mener des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension, conformément au statut des fonctionnaires de l’Union européenne et au régime applicable aux autres agents de l’Union européenne, définis dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (le «statut») (5), et aux dispositions d’exécution concernant la conduite des enquêtes administratives et des procédures disciplinaires. Si nécessaire, l’Agence peut mener des activités préliminaires liées à des cas de fraude et d’irrégularités potentielles et peut notifier ces cas à l’OLAF.

    (3)

    Les membres du personnel de l’Agence sont tenus de signaler et d’évaluer les allégations de toute activité potentiellement illégale, y compris la fraude et la corruption et les fautes professionnelles dans le domaine scientifique, qui portent atteinte aux intérêts de l’Union. Les membres du personnel sont également tenus de signaler une conduite en rapport avec l’exercice de fonctions professionnelles pouvant constituer un manquement grave aux obligations des fonctionnaires de l’Union. Cette exigence est régie par les règles ou politiques internes concernant les lanceurs d’alerte.

    (4)

    L’Agence a mis en place une politique visant à prévenir et à traiter de manière efficace les cas réels ou potentiels de harcèlement moral ou sexuel sur le lieu de travail, conformément aux mesures d’exécution du statut des fonctionnaires établissant une procédure informelle permettant à la victime présumée du harcèlement de contacter les conseillers «confidentiels» de l’Agence.

    (5)

    L’Agence peut également mener des enquêtes sur la sécurité (informatique) interne et sur d’éventuelles violations des règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne («ICUE»).

    (6)

    L’Agence fait l’objet d’audits à la fois internes et externes concernant ses activités, y compris d’audits menés par les services d’audit interne de la Commission européenne et par la Cour des comptes européenne.

    (7)

    L’Agence peut traiter les demandes du Parquet européen, les demandes d’accès aux dossiers médicaux des membres du personnel de l’Agence, faire effectuer des enquêtes par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement.

    (8)

    Dans le cadre de ces enquêtes administratives, audits, enquêtes ou demandes, l’Agence coopère avec d’autres institutions, organes, organismes et agences de l’Union.

    (9)

    L’Agence peut coopérer avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou de sa propre initiative.

    (10)

    L’Agence peut également coopérer avec les pouvoirs publics des États membres de l’Union, à la demande de ceux-ci ou de sa propre initiative.

    (11)

    L’Agence peut faire l’objet de plaintes, d’allégations, de procédures ou d’enquêtes via des lanceurs d’alerte, des tiers ou le Médiateur européen, ou les recevoir.

    (12)

    L’Agence peut être impliquée dans des affaires portées devant la Cour de justice de l’Union européenne soit pour saisir la Cour, soit pour défendre une décision qu’elle a prise et qui est attaquée devant la Cour ou pour intervenir dans des affaires relatives à ses missions. Dans ce contexte, l’Agence pourrait devoir préserver la confidentialité des données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes.

    (13)

    Dans le cadre de ses activités, l’Agence traite plusieurs catégories de données à caractère personnel, y compris les données d’identification de personnes physiques, les coordonnées, les fonctions et tâches professionnelles, les informations sur la conduite et les performances professionnelles et privées et les données financières, ainsi que, dans certains cas spécifiques, des données sensibles (p.ex. les données sur la santé). Les données à caractère personnel comprennent les données factuelles «dures» et les données d’évaluation «molles».

    Les «données dures» sont des données factuelles objectives telles que les données d’identification, les coordonnées, les données professionnelles, les détails administratifs, les métadonnées relatives aux communications électroniques et les données relatives au trafic.

    Les «données molles» sont des données subjectives et comprennent notamment la description et l’évaluation de situations et de circonstances, les avis, les observations relatives aux personnes concernées, l’évaluation du comportement et des performances des personnes concernées et le raisonnement qui sous-tend les décisions individuelles liées ou présentées en rapport avec l’objet de la procédure ou de l’activité menée par l’Agence conformément au cadre juridique applicable.

    Les évaluations, observations et avis sont considérés comme des données à caractère personnel au sens de l’article 3, paragraphe 1, du règlement.

    (14)

    En vertu du règlement, l’Agence est donc tenue de fournir des informations aux personnes concernées au sujet de ces activités de traitement et de respecter les droits des personnes concernées.

    (15)

    L’Agence s’engage à respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées, notamment le droit à l’information, le droit d’accès et de rectification, le droit à l’effacement, à la limitation du traitement, le droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement. Toutefois, l’Agence peut également être tenue de limiter les droits et obligations de la personne concernée afin de protéger son fonctionnement et les libertés et droits fondamentaux d’autrui.

    (16)

    Par conséquent, l’article 25, paragraphes 1 et 5, du règlement, donne à l’Agence la possibilité de limiter, dans certaines conditions, l’application des articles 14 à 22, 35 et 36 du règlement, ainsi que de son article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20 et ces limites se fonderont sur des règles internes qui seront adoptées au plus haut niveau de gestion de l’Agence et sont soumis à publication au Journal officiel de l’Union européenne, lorsqu’elles ne sont pas fondées sur des actes juridiques adoptés sur la base des traités.

    (17)

    Les limitations peuvent s’appliquer à différents droits des personnes concernées, notamment la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications tels qu’ils sont consacrés par le règlement.

    (18)

    L’Agence pourrait devoir concilier ces droits avec les objectifs des enquêtes administratives, des audits, des enquêtes et des procédures judiciaires. Il pourrait également s’avérer nécessaire de mettre en balance les droits d’une personne concernée avec les libertés et droits fondamentaux d’autres personnes concernées.

    (19)

    L’Agence pourrait, par exemple, devoir limiter les informations qu’elle fournit à une personne concernée sur le traitement de ses données à caractère personnel pendant la phase d’évaluation préliminaire d’une enquête administrative ou pendant l’enquête elle-même, préalablement à un classement éventuel de l’affaire ou à la phase prédisciplinaire. Dans certaines circonstances, la communication de ces informations pourrait sérieusement compromettre la capacité de l’Agence à mener l’enquête de manière efficace, lorsque, par exemple, la personne concernée risque de détruire des preuves ou de tenter d’influencer des témoins potentiels avant que ceux-ci ne soient interrogés. En outre, l’Agence pourrait devoir protéger les droits et libertés des témoins ainsi que ceux des autres personnes concernées.

    (20)

    L’Agence pourrait devoir protéger l’anonymat d’un témoin, d’un informateur ou d’un lanceur d’alerte qui a demandé à ne pas être identifié. En pareil cas, l’Agence pourrait décider de limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de ces personnes ou du suspect, afin de protéger leurs droits et libertés.

    (21)

    L’Agence pourrait devoir protéger les informations confidentielles concernant un membre du personnel qui a contacté les conseillers confidentiels de l’Agence dans le cadre d’une procédure relative au harcèlement. Dans ce cas, l’Agence pourrait devoir limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de la victime présumée, du harceleur présumé et des autres personnes concernées, afin de protéger les droits et libertés de toutes les personnes concernées.

    (22)

    En ce qui concerne les procédures de sélection et de recrutement, l’évaluation du personnel et les procédures de passation de marchés publics, le droit d’accès, de rectification, d’effacement et de limitation du traitement ne peut être exercé qu’à certains moments et dans les conditions prévues dans les procédures concernées afin de sauvegarder les droits des autres personnes concernées et de respecter le principe d’égalité de traitement et le secret des délibérations.

    (23)

    L’Agence peut également limiter l’accès des personnes à leurs données médicales, par exemple de nature psychologique ou psychiatrique, en raison de la sensibilité potentielle de ces données, et le service médical de la Commission peut souhaiter ne donner aux personnes concernées qu’un accès indirect par l’intermédiaire de leur médecin. La personne concernée peut exercer le droit de rectification des évaluations ou des avis du service médical de la Commission en fournissant ses commentaires ou un rapport d’un médecin de son choix.

    (24)

    L’Agence, représentée par son directeur, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure de la fonction de responsable du traitement en son sein, afin de tenir compte des responsabilités opérationnelles liées à des traitements spécifiques de données à caractère personnel aux «responsables délégués du traitement des données» compétents.

    (25)

    Les données à caractère personnel sont stockées en toute sécurité dans un environnement électronique conforme à la décision (UE, Euratom) 2017/46 de la Commission (6) sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne ou sur papier, empêchant tout accès ou transfert illégal de données à des personnes qui ne doivent pas en avoir connaissance. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux finalités pour lesquelles elles sont traitées, pendant la période indiquée dans les avis relatifs à la protection des données et les registres de l’Agence.

    (26)

    Les limitations appliquées par l’Agence respectent toujours l’essence des libertés et droits fondamentaux et constituent une mesure strictement nécessaire et proportionnée dans une société démocratique. L’Agence doit justifier ces limitations et informer en conséquence les personnes concernées de ces motifs et de leur droit à saisir le CEPD, comme le prévoit l’article 25, paragraphe 6, du règlement.

    (27)

    En application du principe de responsabilité, l’Agence tient un registre relatif à son application des limitations.

    (28)

    Lorsqu’elle traite des données à caractère personnel échangées avec d’autres organisations dans le cadre de ses missions, l’Agence et ces organisations se consultent sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité de ces limitations, à moins que cela ne compromette les activités de l’Agence.

    (29)

    Les présentes règles internes s’appliquent donc à toutes les activités de traitement effectuées par l’Agence qui concernent des données à caractère personnel dans le cadre d’enquêtes administratives, de procédures disciplinaires, d’activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, d’enquêtes du Parquet européen, de procédures de dénonciation des dysfonctionnements, de procédures (formelles et informelles) en cas de harcèlement, de traitement de plaintes internes et externes, de demandes d’accès ou de rectification de dossiers médicaux personnels, d’enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement, d’enquêtes de sécurité (informatique) traitées en interne ou avec une participation externe (CERT-UE, par exemple), d’audits, de procédures devant la Cour de justice de l’Union européenne ou des autorités publiques nationales, de procédures de sélection et de recrutement, d’évaluation du personnel et de passation de marchés publics, tels qu’énumérés ci-dessus.

    (30)

    Ces règles internes s’appliquent aux activités de traitement effectuées avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des suites données à l’issue de ces procédures. Elles devraient aussi couvrir l’assistance et la coopération fournies par l’Agence aux institutions de l’UE et aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives.

    (31)

    Conformément à l’article 25, paragraphe 8, du règlement, l’Agence est autorisée à différer, à omettre ou à refuser la communication d’informations sur les motifs de l’application d’une limitation à la personne concernée si cela prive d’effet, de quelque manière que ce soit, la limitation imposée. L’Agence évalue au cas par cas si la communication de la limitation prive celle-ci d’effet.

    (32)

    L’Agence lève la limitation dès que les conditions qui la justifient ne s’appliquent plus et évalue régulièrement ces conditions.

    (33)

    Afin de garantir la plus grande protection des droits et libertés des personnes concernées et conformément à l’article 44, paragraphe 1, du règlement, le délégué à la protection des données de l’Agence est consulté en temps utile avant que toute limitation puisse être appliquée ou révisée et doit vérifier sa conformité avec la présente décision.

    (34)

    L’article 16, paragraphe 5, et l’article 17, paragraphe 4, du règlement prévoient des exceptions au droit à l’information et au droit d’accès des personnes concernées. Si ces exceptions s’appliquent, l’Agence ne doit pas appliquer une limitation en vertu de la présente décision,

    A ADOPTÉ LA PRÉSENTE DÉCISION:

    Article premier

    Objet et champ d’application

    1.   La présente décision établit les règles relatives aux conditions dans lesquelles l’Agence exécutive du Conseil européen de la recherche (ERCEA) et tout successeur légal de cette dernière (l’«Agence») peut limiter l’application des articles 4, 14 à 22, 35 et 36, conformément à l’article 25 du règlement.

    2.   L’Agence, en qualité de responsable du traitement des données, est représentée par son directeur, qui peut déléguer ultérieurement la fonction de responsable du traitement des données.

    Article 2

    Limitations applicables

    1.   L’Agence peut limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 du règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20.

    2.   La présente décision s’applique aux opérations de traitement de données à caractère personnel effectuées par l’Agence dans le cadre de son fonctionnement administratif et opérationnel:

    a)

    conformément à l’article 25, paragraphe 1, points b), c), f), g) et h) du règlement, lorsqu’elle mène des enquêtes internes, notamment basées sur des plaintes externes, des allégations, des enquêtes administratives, des procédures prédisciplinaires et disciplinaires ou des procédures de suspension en vertu de l’article 86 et de l’annexe IX du statut et de ses dispositions d’exécution, des enquêtes de sécurité ou des enquêtes de l’OLAF;

    b)

    conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle fait en sorte que les membres du personnel de l’Agence puissent, à titre confidentiel, communiquer des faits lorsqu’ils estiment qu’il existe de graves irrégularités, comme prévu dans les règles ou politiques internes relatives aux lanceurs d’alerte;

    c)

    conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle veille à ce que les membres du personnel de l’Agence puissent informer des conseillers confidentiels dans le cadre d’une procédure relative au harcèlement, telle que définie par les règles internes;

    d)

    conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle mène des audits internes ou externes portant sur les activités ou le fonctionnement de l’Agence;

    e)

    conformément à l’article 25, paragraphe 1, points d) et h), du règlement, lorsqu’elle effectue des analyses de sécurité, y compris sur des abus en matière de cybersécurité et de sécurité informatique, traités en interne ou avec une participation externe (CERT-UE, par exemple), lorsqu’elle assure la sécurité interne au moyen de la vidéosurveillance, du contrôle des accès et des enquêtes, lorsqu’elle sécurise les systèmes de communication et d’information et lorsqu’elle applique des contre-mesures techniques de sécurité;

    f)

    conformément à l’article 25, paragraphe 1, points g) et h), du règlement, lorsque le délégué à la protection des données («DPD») de l’Agence enquête sur des questions directement liées à ses tâches;

    g)

    conformément à l’article 25, paragraphe 1, points b), g) et h), du règlement, dans le contexte d’enquêtes menées par le Parquet européen;

    h)

    conformément à l’article 25, paragraphe 1, point h), du règlement, lorsque des particuliers demandent à accéder à leurs données médicales ou à les rectifier, notamment si ces données sont conservées par le service médical de la Commission;

    i)

    conformément à l’article 25, paragraphe 1, points c), d), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec d’autres institutions, organes, organismes et agences de l’Union dans le cadre des activités visées aux points a) à h) du présent paragraphe et conformément aux dispositions des accords de niveau de service, des protocoles d’accord et des accords de coopération de leur acte constitutif respectif;

    j)

    conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou à de sa propre initiative;

    k)

    conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance et la coopération mutuelles avec les pouvoirs publics des États membres de l’Union, à la demande de ceux-ci ou de sa propre initiative;

    l)

    conformément à l’article 25, paragraphe 1, point e), du règlement, lorsqu’elle traite les données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes dans le cadre des procédures devant la Cour de justice de l’Union européenne;

    Aux fins de la présente décision, les activités susmentionnées comprennent les actions préparatoires et de suivi directement liées à la même activité.

    3.   L’Agence peut également appliquer des limitations au cas par cas aux droits des personnes concernées visés dans la présente décision, dans les circonstances suivantes:

    a)

    lorsque les services de la Commission ou d’autres institutions, organes, agences et organismes de l’Union sont autorisés à limiter l’exercice des droits énumérés et que la finalité d’une telle limitation par ces services de la Commission, institutions, organes ou agences de l’Union serait compromise si l’Agence n’appliquait pas une limitation équivalente aux mêmes données à caractère personnel;

    b)

    lorsque les autorités compétentes des États membres sont autorisées à limiter l’exercice des droits énumérés et que la finalité d’une telle limitation par cette autorité de l’État membre serait compromise si l’Agence n’appliquait pas une limitation équivalente aux mêmes données à caractère personnel;

    c)

    lorsque l’exercice de ces droits et obligations compromettrait la coopération de l’Agence avec des pays tiers ou des organisations internationales dans l’exécution de ses tâches, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne l’emportent sur cette nécessité de coopérer.

    Avant d’appliquer des limitations en vertu du présent paragraphe, l’Agence consulte, le cas échéant, les services compétents de la Commission, les autres institutions, organes, organismes et agences de l’Union, les organisations internationales ou les autorités compétentes des États membres, sauf s’il est clair que la limitation est prévue par l’un des actes visés ci-dessus ou qu’une telle consultation compromettrait les activités de l’Agence.

    4.   Les catégories de données à caractère personnel traitées dans le cadre des activités susmentionnées peuvent contenir des données factuelles «dures» et des données d’évaluation «molles».

    5.   Toute limitation doit respecter l’essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique.

    Article 3

    Enregistrement des limitations et consignation dans un registre

    1.   Le responsable du traitement des données consigner la limitation dans un registre décrivant:

    a)

    les motifs de toute limitation appliquée conformément à la présente décision;

    b)

    les motifs parmi ceux énumérés à l’article 2 qui s’appliquent;

    c)

    la manière dont l’exercice du droit concerné présenterait un risque pour la personne concernée ou compromettrait la réalisation des tâches de l’Agence ou porterait atteinte aux droits et libertés d’autres personnes concernées;

    d)

    le résultat de l’évaluation de la nécessité et de la proportionnalité de la limitation, en tenant compte des éléments pertinents de l’article 25, paragraphe 2, du règlement.

    2.   Une évaluation de la nécessité et de la proportionnalité d’une limitation est effectuée au cas par cas avant l’application des limitations. Le responsable du traitement des données tient compte des risques potentiels pour les droits et libertés de la personne concernée. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre leur objectif.

    3.   Le relevé de la limitation et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.

    Article 4

    Risques pour les droits et libertés des personnes concernées

    1.   Les évaluations des risques pour les droits et libertés des personnes concernées de l’imposition des limitations et les informations relatives à la durée d’application de ces limitations sont enregistrées dans le registre des activités de traitement tenu par le responsable du traitement des données en vertu de l’article 31 du règlement. Elles sont également enregistrées dans les analyses d’impact relatives à la protection des données concernant ces limitations effectuées en vertu de l’article 39 du règlement, le cas échéant.

    2.   Lorsque le responsable du traitement des données envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de porter atteinte aux enquêtes ou procédures, par exemple par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.

    Article 5

    Garanties et durées de conservation

    1.   L’Agence met en place des garanties spécifiques afin de prévenir les abus et l’accès ou le transfert illicites des données à caractère personnel pour lesquelles des limitations s’appliquent ou pourraient s’appliquer. Ces garanties comprennent des mesures techniques et organisationnelles et sont détaillées, le cas échéant, dans les décisions, procédures et dispositions d’exécution de l’Agence. Ces garanties comprennent:

    a)

    une définition claire des rôles, des responsabilités et des étapes de la procédure;

    b)

    le cas échéant, un environnement électronique sécurisé qui empêche l’accès ou le transfert illicite et accidentel de données électroniques à des personnes non autorisées;

    c)

    le cas échéant, la conservation et le traitement sécurisés des documents papier;

    d)

    l’assurance du respect des obligations de confidentialité pour toutes les personnes ayant accès aux données à caractère personnel.

    2.   La durée de conservation des données à caractère personnel faisant l’objet d’une limitation est définie dans le registre correspondant prévu à l’article 31 du règlement en tenant compte de la finalité du traitement et comprend le délai nécessaire au contrôle administratif et judiciaire. À la fin de la durée de conservation, les données à caractère personnel sont supprimées, rendues anonymes ou renvoyées dans des archives conformément à l’article 13 du règlement.

    Article 6

    Durée des limitations

    1.   Les limitations visées à l’article 2 continuent de s’appliquer tant que les raisons les justifiant persistent.

    2.   Lorsque les raisons d’une limitation ne s’appliquent plus, le responsable du traitement des données lève la limitation si l’exercice du droit limité ne risque plus d’avoir une incidence négative sur la procédure applicable pertinente ou de porter atteinte aux droits ou libertés d’autres personnes concernées.

    3.   Dans le cas où la personne concernée a demandé à nouveau l’accès aux données à caractère personnel concernées, le responsable du traitement doit fournir à la personne concernée les principales raisons de cette limitation. Dans le même temps, l’Agence informe la personne concernée de sa possibilité de saisir le Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

    4.   Tous les six mois, l’Agence réexamine l’application des limitations visées à l’article 2.

    Article 7

    Participation du délégué à la protection des données

    1.   Le responsable du traitement des données de l’Agence informe le DPD de l’Agence dans les meilleurs délais et avant toute décision de limiter les droits des personnes concernées conformément à la présente décision ou d’étendre l’application de la limitation. Le responsable du traitement des données donne au DPD l’accès aux dossiers correspondants et à tout document concernant le contexte factuel ou juridique.

    2.   Le DPD peut demander au responsable du traitement de réexaminer l’application d’une limitation. Le responsable du traitement des données informe le DPD par écrit du résultat du réexamen demandé.

    3.   Le responsable du traitement des données documente la participation du DPD à l’application de la limitation, y compris la nature des informations qui sont échangées avec lui. Les documents visés au présent article font partie du registre relatif à la limitation et sont mis à la disposition du CEPD sur demande.

    Article 8

    Information de la personne concernée sur les limitations de ses droits

    1.   Le responsable du traitement inclut dans les avis et registres relatifs à la protection des données visés à l’article 31 du règlement, publiés sur son site internet et sur l’intranet, des informations générales sur les limitations potentielles des droits des personnes concernées en vertu de l’article 2, paragraphe 2, de la présente décision. Ces informations portent sur les droits et obligations susceptibles d’être limités, les motifs pour lesquels des limitations peuvent s’appliquer, ainsi que leur durée potentielle.

    2.   Le responsable du traitement des données informe les personnes concernées individuellement de toute limitation en cours ou future de leurs droits par écrit et dans les meilleurs délais. Le responsable du traitement des données informe la personne concernée des principales raisons qui motivent l’application de la limitation, de son droit de consulter le DPD en vue de contester la limitation et de son droit de saisir le CEPD.

    3.   Le responsable du traitement des données peut différer, omettre ou refuser la communication d’informations sur les motifs d’une limitation et le droit de saisir le CEPD dès lors que cela priverait d’effet la limitation. L’évaluation de cette justification se fait au cas par cas et le responsable du traitement communique les informations à la personne concernée, dès lors que cela ne prive plus d’effet la limitation.

    Article 9

    Droit d’accès de la personne concernée

    1.   Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit d’accès prévu à l’article 17 du règlement peut être limité par le responsable du traitement lorsque cela est nécessaire et proportionné au regard des activités relevant de la présente décision.

    2.   Lorsque les personnes concernées demandent l’accès à leurs données à caractère personnel traitées dans le cadre d’une activité de traitement spécifique visée à l’article 2, paragraphe 2, de la présente décision, l’Agence limite sa réponse aux données à caractère personnel traitées pour cette activité.

    3.   Le droit des personnes concernées d’accéder directement aux documents de nature psychologique ou psychiatrique peuvent être limités. Ni l’accès indirect, ni le droit de rectification et de communication d’une violation de données à caractère personnel ne sont limités par ces règles internes. Par conséquent, un médecin intermédiaire devrait se voir accorder, à la demande de la personne concernée, l’accès à toutes les informations connexes et un pouvoir discrétionnaire quant à la manière et au type d’accès à fournir à la personne concernée.

    4.   Lorsque le responsable du traitement limite, en tout ou en partie, le droit d’accès aux données à caractère personnel visé à l’article 17 du règlement, il informe par écrit la personne concernée, dans sa réponse à la demande d’accès, de la limitation appliquée et des principales raisons motivant cette limitation ainsi que de la possibilité de saisir le CEPD ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

    5.   La communication de la limitation d’accès peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement.

    6.   Une limitation au titre du présent article est appliquée conformément à la présente décision.

    Article 10

    Droit de rectification, droit à l’effacement et droit à la limitation du traitement

    1.   Dans des cas dûment justifiés et dans les conditions prévues par la présente décision, le droit de rectification, le droit à l’effacement et le droit à la limitation du traitement prévus à l’article 18, à l’article 19, paragraphe 1 et à l’article 20, paragraphe 1, du règlement peuvent être limités par le responsable du traitement lorsque cette limitation est nécessaire et appropriée au regard des activités relevant de l’article 2, paragraphe 2, de la présente décision.

    2.   En ce qui concerne les données médicales, les personnes concernées peuvent exercer le droit de rectification de l’évaluation ou de l’avis du service médical de la Commission en fournissant leurs commentaires ou un rapport d’un médecin de leur choix, notamment directement au service médical de la Commission.

    3.   Une limitation au titre du présent article est appliquée conformément à la présente décision.

    Article 11

    Communication à la personne concernée d’une violation de données à caractère personnel

    1.   Lorsque le responsable du traitement a l’obligation de communiquer une violation de données en vertu de l’article 35, paragraphe 1, du règlement, il/elle peut, dans des cas exceptionnels, limiter cette communication en tout ou en partie. Il/elle documente dans une note les raisons de la limitation, son motif juridique en vertu de l’article 2 de la présente décision et une évaluation de sa nécessité et de sa proportionnalité. La note est communiquée au CEPD au moment de la notification de la violation de données à caractère personnel.

    2.   Lorsque les raisons de la limitation ne s’appliquent plus, l’Agence informe la personne concernée de la violation de données à caractère personnel et des principales raisons de la limitation, ainsi que de son droit de saisir le CEPD.

    Article 12

    Confidentialité des communications électroniques

    1.   Dans des circonstances exceptionnelles, l’Agence peut limiter le droit à la confidentialité des communications électroniques prévu à l’article 36 du règlement. Ces limitations sont conformes à la directive 2002/58/CE du Parlement européen et du Conseil (7).

    2.   Sans préjudice de l’article 8, paragraphe 3, lorsque l’Agence restreint le droit à la confidentialité des communications électroniques, elle informe la personne concernée, dans sa réponse à une demande de la personne concernée, des principales raisons qui motivent l’application de la limitation et de son droit de saisir le CEPD.

    Article 13

    Entrée en vigueur

    La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

    Fait à Bruxelles, le 11 décembre 2020.

    Pour le comité de direction

    Le président

    Jean-Eric PAQUET

    (1)  JO L 295 du 21.11.2018, p. 39.

    (2)  JO L 11 du 16.1.2003, p. 1.

    (3)  Décision d’exécution [C(2013)9048] de la Commission instituant l’Agence exécutive du Conseil européen de la recherche et abrogeant la décision 2008/37/CE.

    (4)  Décision d’exécution C(2013)9428 de la Commission portant délégation à l’Agence exécutive du Conseil européen de la recherche en vue de l’exécution de tâches liées à la mise en œuvre de programmes de l’Union en matière de recherche exploratoire et comprenant notamment l’exécution de crédits inscrits au budget général de l’Union.

    (5)  Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).

    (6)  Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d'information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40).

    (7)  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

    Top