1.   La présente décision fixe des règles et des procédures pour l’application du règlement (UE) 2018/1725 par le Conseil et le secrétariat général du Conseil (SGC) et énonce des dispositions d’application complémentaires concernant le délégué à la protection des données du Conseil (DPD).

2.   La présente décision fixe les règles que le Conseil et le SGC doivent suivre, en rapport avec les missions de contrôle, d’enquête, d’audit ou de consultation du DPD, lorsqu’ils informent les personnes concernées du traitement de leurs données à caractère personnel conformément aux articles 14, 15 et 16 du règlement (UE) 2018/1725.

3.   La présente décision fixe les conditions dans lesquelles le Conseil et le SGC peuvent, en rapport avec les activités de contrôle, d’enquête, d’audit ou de consultation du DPD, limiter l’application des articles 4, 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, conformément à l’article 25, paragraphe 1, points c), g) et h), dudit règlement.

4.   La présente décision s’applique au traitement de données à caractère personnel par le Conseil et le SGC aux fins des missions du DPD visées à l’article 45 du règlement (UE) 2018/1725 ou en rapport avec celles-ci.

1.   Le secrétaire général du Conseil désigne le DPD parmi le personnel du SGC et en avise le contrôleur européen de la protection des données (CEPD), conformément à l’article 43 du règlement (UE) 2018/1725.

2.   Le DPD est sélectionné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées en droit et pratiques en matière de protection des données, et de sa capacité de s’acquitter des missions visées à l’article 45 du règlement (UE) 2018/1725. Le DPD a également une bonne connaissance du SGC, de sa structure et de ses règles et procédures administratives. Aux fins de l’accomplissement de ses missions, le DPD est déchargé de toute autre tâche au sein du SGC.

3.   Le DPD est désigné pour une période de cinq ans et son mandat est renouvelable.

4.   Le DPD et son personnel sont directement rattachés au secrétaire général du Conseil et rendent compte directement à celui-ci.

5.   Dans l’accomplissement de ses missions, le DPD agit de manière indépendante et ne reçoit aucune instruction du secrétaire général du Conseil, des responsables délégués du traitement ou des responsables opérationnels du traitement ni de qui que ce soit d’autre en ce qui concerne l’application interne des dispositions du règlement (UE) 2018/1725 ou sa coopération avec le CEPD.

6.   Le Conseil et le SGC aident le DPD à exercer les missions visées à l’article 45 du règlement (UE) 2018/1725 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées.

7.   Le DPD ne peut être relevé de ses fonctions ni pénalisé pour l’exercice de ses missions. Le DPD ne peut être relevé de ses fonctions qu’en application de l’article 44, paragraphe 8, du règlement (UE) 2018/1725. Aux fins d’obtenir le consentement du CEPD à une telle destitution en application dudit article, le CEPD est consulté par écrit. Une copie de ce consentement est transmise au DPD.

8.   Le SGC, en particulier les responsables délégués du traitement et les responsables opérationnels du traitement, veillent à ce que le DPD soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

1.   Le DPD exerce les missions prévues à l’article 45 du règlement (UE) 2018/1725. En particulier, le DPD:

Le DPD peut être consulté par le secrétaire général du Conseil, par les responsables du traitement concernés, par le comité du personnel ou par toute personne, sans passer par les voies officielles, sur toute question concernant l’application ou la mise en œuvre du règlement (UE) 2018/1725.

2.   Le DPD tient un registre des relevés d’activités de traitement et le rend accessible au public, conformément à l’article 12.

3.   Le DPD tient un registre interne des violations de données à caractère personnel au sens de l’article 3, point 16), du règlement (UE) 2018/1725.

4.   Le DPD conseille le responsable délégué du traitement, sur demande, sur l’application d’une limitation de l’application des articles 14 à 22, des articles 35 et 36, ainsi que de l’article 4 du règlement (UE) 2018/1725.

5.   Le DPD organise et préside les réunions périodiques des coordinateurs de la protection des données.

6.   Le DPD présente au secrétaire général du Conseil un rapport annuel sur ses activités, qu’il rend accessible au personnel du SGC.

7.   Le DPD coopère avec les délégués à la protection des données désignés par les autres institutions et organes de l’Union et assiste régulièrement aux réunions convoquées par le CEPD ou les délégués à la protection des données des autres institutions et organes de l’Union en vue de faciliter une bonne coopération, notamment par l’échange d’expériences et de bonnes pratiques.

8.   Le DPD est considéré comme étant le responsable délégué du traitement pour les opérations de traitement effectuées dans l’exercice de ses fonctions.

1.   Les responsables du traitement associent le DPD à la planification et à l’examen d’une activité qui implique le traitement de données à caractère personnel. Le DPD est informé de toute opération de traitement ainsi que de toute modification substantielle d’une opération de traitement existante.

2.   Le DPD est informé des projets de notes internes et de décisions du SGC directement liées à l’application interne du règlement (UE) 2018/1725.

3.   Le DPD est informé de tous les contacts avec des parties extérieures en ce qui concerne l’application interne du règlement (UE) 2018/1725 et de toute interaction avec le CEPD, en particulier lorsque ce dernier est consulté ou informé conformément aux articles 40 et 41 dudit règlement.

4.   Le DPD est consulté sur les projets d’arrangements entre responsables conjoints du traitement et sur les projets de clauses contractuelles relatives à la protection des données ou d’autres actes juridiques lorsque des données à caractère personnel sont traitées par un sous-traitant.

1.   Les responsables délégués du traitement sont chargés de veiller à ce que toutes les opérations de traitement effectuées sous leur contrôle soient conformes au règlement (UE) 2018/1725.

2.   En particulier, les responsables délégués du traitement:

3.   Les responsables délégués du traitement veillent à ce que le DPD soit associé en temps utile à toutes les questions relatives aux données à caractère personnel et mettent en place tous les arrangements nécessaires pour veiller à ce que le coordinateur de la protection des données soit dûment associé à toutes les questions liées à la protection des données au sein de leur direction générale ou autre service du SGC.

4.   Les responsables délégués du traitement veillent à ce que des mesures techniques et organisationnelles appropriées soient en place pour démontrer que les activités de traitement sont conformes au règlement (UE) 2018/1725 et donnent des instructions adéquates au personnel du SGC pour garantir à la fois la confidentialité du traitement et un niveau de sécurité adapté aux risques présentés par le traitement. Ils peuvent consulter le DPD lors de la sélection de ces mesures.

5.   Les responsables délégués du traitement rendent compte au DPD sur le traitement de toute demande émanant d’une personne concernée en vue de l’exercice de ses droits et aident le DPD et le CEPD dans l’exercice de leurs fonctions respectives, notamment en fournissant des informations en réponse à leurs demandes dans un délai de 30 jours.

6.   Les responsables délégués du traitement sont responsables de l’application d’une limitation de l’application des articles 14 à 22, de l’article 35 et de l’article 36 du règlement (UE) 2018/1725, ainsi que de l’article 4 dudit règlement, conformément aux règles internes applicables. Les responsables délégués du traitement associent le DPD tout au long de la procédure lorsqu’ils appliquent une telle limitation.

7.   Les responsables délégués du traitement veillent à ce que des arrangements internes soient pris avec d’autres directions générales ou services du SGC pour le cas où le responsable délégué du traitement effectue des opérations de traitement conjointement avec ces directions générales ou services du SGC ou que ces derniers effectuent une partie de l’opération de traitement du responsable délégué du traitement.

Les arrangements visés au premier alinéa déterminent les responsabilités respectives des responsables délégués du traitement et des autres directions générales ou services du SGC en ce qui concerne le respect des obligations en matière de protection des données. Plus particulièrement, ces arrangements précisent l’identité du responsable délégué du traitement qui détermine les moyens et les finalités de l’opération de traitement ainsi que celle du responsable opérationnel du traitement, et indiquent, s’il y a lieu, les personnes ou les entités qui aident le responsable opérationnel du traitement, entre autres, à recueillir des informations en cas de violations de données ou à tenir compte des droits des personnes concernées.

1.   Les responsables opérationnels du traitement aident le responsable délégué du traitement à veiller au respect du règlement (UE) 2018/1725 pour les opérations de traitement dont il est responsable et servent de point de contact principal pour les personnes concernées.

2.   En particulier, les responsables opérationnels du traitement:

3.   Les responsables opérationnels du traitement informent le DPD des violations de données à caractère personnel dans les meilleurs délais et lui fournissent toutes les informations nécessaires pour lui permettre de veiller à ce que le Conseil se conforme aux obligations qui lui incombent concernant les violations de données à caractère personnel visées aux articles 34 et 35 du règlement (UE) 2018/1725.

4.   En coordination avec le responsable délégué du traitement et le DPD, les responsables opérationnels du traitement notifient au CEPD les violations de données à caractère personnel, le cas échéant. Ils informent également les personnes concernées, le cas échéant.

5.   Les responsables opérationnels du traitement veillent à ce que le coordinateur de la protection des données soit tenu informé de toutes les questions relatives à la protection des données.

6.   Les responsables opérationnels du traitement évaluent les risques pour les droits et libertés de la personne concernée liés aux opérations de traitement dont ils sont responsables et effectuent, le cas échéant, une analyse d’impact relative à la protection des données. Les responsables opérationnels du traitement demandent conseil au DPD lorsqu’ils effectuent ces analyses d’impact et lui demandent conseil quant à la nécessité d’une consultation préalable, conformément aux articles 39 et 40 du règlement (UE) 2018/1725.

7.   Les responsables opérationnels du traitement exécutent, à la demande du responsable délégué du traitement, toute autre tâche relevant du champ d’application de la présente décision.

1.   Chaque direction générale ou autre service du SGC nomme, en consultation avec le DPD, un ou plusieurs coordinateurs de la protection des données pour assister le responsable délégué du traitement et le responsable opérationnel du traitement en son sein dans tous les aspects liés à la protection des données à caractère personnel.

2.   Les coordinateurs de la protection des données sont choisis sur la base de leur connaissance et de leur expérience du fonctionnement de la direction générale ou de l’autre service du SGC concerné, de leur aptitude pour cette fonction, de leurs compétences en matière de protection des données, de leur connaissance des principes qui régissent les systèmes d’information et de leurs aptitudes à la communication. Les coordinateurs de la protection des données nouvellement nommés suivent une formation afin d’acquérir les compétences nécessaires à l’exercice de leur fonction dans les six mois suivant leur nomination. Un coordinateur de la protection des données qui a précédemment travaillé personne de contact dans une autre direction générale ou un autre service du SGC dans les deux années précédant sa nomination sont exemptés de cette obligation de formation.

3.   La fonction de coordinateur de la protection des données fait partie de la description de poste de chaque membre du personnel du SGC nommé comme personne de contact. Le rapport d’évaluation annuel fait mention de leurs responsabilités et réalisations.

4.   Les coordinateurs de la protection des données sont associés de manière appropriée et en temps utile à toutes les questions liées à la protection des données au sein de leur direction générale ou autre service du SGC et exercent leurs fonctions en étroite coopération avec le DPD.

5.   Les coordinateurs de la protection des données ont le droit de recueillir auprès des responsables du traitement et auprès du personnel les informations adéquates et nécessaires requises pour l’accomplissement de leurs missions au sein de leur direction générale ou autre service du SGC. Cela n’inclut pas l’accès aux données à caractère personnel traitées sous la responsabilité du responsable délégué du traitement. Les coordonnateurs de la protection des données n’ont accès aux données à caractère personnel que si cela est nécessaire à l’accomplissement de leurs missions.

6.   Les coordinateurs de la protection des données sensibilisent aux questions relatives à la protection des données et aident les responsables délégués du traitement au sein de leur direction générale ou autre service du SGC à respecter leurs obligations, notamment en ce qui concerne:

7.   Les coordinateurs de la protection des données aident les responsables opérationnels du traitement au sein de leur direction générale ou autre service du SGC à s’acquitter des obligations qui leur incombent, notamment en ce qui concerne:

1.   Le DPD tient un registre des opérations de traitement et veille à ce que ce registre soit accessible depuis son site internet sur l’intranet du SGC et depuis le site internet du Conseil.

2.   Le responsable opérationnel du traitement notifie au DPD tout traitement de données à caractère personnel et présente le relevé d’activités de traitement et la déclaration de confidentialité correspondante au moyen d’un formulaire disponible sur le site intranet du SGC (sous «Protection des données»). La notification se fait par voie électronique. Après consultation avec le DPD, le responsable délégué du traitement confirme le relevé et la déclaration de confidentialité correspondante, et le DPD les publie au registre.

3.   Le relevé contient toutes les informations visées à l’article 31 du règlement (UE) 2018/1725. Toutefois, les informations portées au registre par le DPD peuvent exceptionnellement être limitées à ce qui est nécessaire pour garantir la sécurité d’une opération de traitement donnée. Le DPD est informé rapidement par le responsable opérationnel du traitement de tout changement affectant ces informations.

1.   En cas de violation de données à caractère personnel, le responsable délégué du traitement ou le responsable opérationnel du traitement sollicite l’assistance du coordinateur de la protection des données et informe le DPD de l’incident dans les meilleurs délais et lui fournit toutes les informations nécessaires lui permettant de s’assurer que le Conseil respecte les obligations en matière de notification et de communication des violations de données à caractère personnel en vertu des articles 34 et 35 du règlement (UE) 2018/1725.

2.   Le DPD établit et tient à jour un registre interne des violations de données à caractère personnel. Les responsables délégués du traitement et les responsables opérationnels du traitement fournissent les informations nécessaires devant être portées au registre.

3.   Les responsables délégués du traitement et les responsables opérationnels du traitement préparent la notification au CEPD en consultation avec le DPD, sauf s’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques.

1.   Le DPD peut, de sa propre initiative ou à la demande du responsable délégué du traitement, du responsable opérationnel du traitement, du sous-traitant, du comité du personnel ou de toute personne, enquêter sur des questions et des faits qui sont en rapport avec ses missions, et rendre compte à la personne qui a demandé cette enquête ou au responsable délégué du traitement, au responsable opérationnel du traitement ou au sous-traitant.

2.   Les demandes d’enquête sont adressées au DPD par écrit. En cas d’abus manifeste du droit de demander une enquête, par exemple si une même personne a fait une demande identique récemment, le délégué n’est pas obligé de rendre compte au demandeur.

3.   Dans les quinze jours suivant la réception de la demande d’enquête, le DPD envoie un accusé de réception à la personne qui a formulé la demande et vérifie si la demande doit être traitée de manière confidentielle.

4.   Le DPD demande au responsable délégué du traitement des données qui est responsable de l’opération de traitement de données objet de la demande d’enquête afin de fournir un rapport sur la question. Le responsable délégué du traitement répond dans les quinze jours. Le DPD peut demander des informations complémentaires au responsable délégué du traitement ou au responsable opérationnel du traitement, au sous-traitant ou à d’autres services compétents du SGC. S’il y a lieu, il peut demander un avis sur la question au service juridique du Conseil. Les informations demandées ou l’avis demandé lui sont communiqués dans les 30 jours.

5.   Le DPD rend compte à la personne qui a fait la demande d’enquête trois mois au plus tard après réception de celle-ci. Ce délai peut être suspendu jusqu’à ce que le DPD ait obtenu toutes les informations nécessaires qu’il a pu demander.

6.   Nul ne subit de préjudice pour avoir porté à l’attention du DPD un fait dont il allègue qu’il constitue une violation du règlement (UE) 2018/1725.

1.   Les droits de la personne concernée établis aux articles 14 à 24 du règlement (UE) 2018/1725 ne peuvent être exercés que par la personne concernée ou par son représentant dûment mandaté.

2.   La personne concernée adresse sa demande par écrit au responsable opérationnel du traitement, avec copie au DPD. Si nécessaire, le DPD aide la personne concernée à identifier le responsable opérationnel du traitement. La demande peut être adressée sous forme électronique et contient:

3.   Le responsable opérationnel du traitement envoie un accusé de réception à la personne concernée de la demande dans les cinq jours ouvrables suivant l’enregistrement de celle-ci. Le responsable opérationnel du traitement demande les éclaircissements nécessaires en cas de demande imprécise ou incomplète. Les délais applicables prévus à l’article 14, paragraphes 3 et 4, du règlement (UE) 2018/1725 ne commencent pas à courir tant que les éclaircissements nécessaires n’ont pas été apportés.

4.   Le responsable opérationnel du traitement vérifie l’identité de la personne concernée conformément à l’article 14, paragraphe 6, du règlement (UE) 2018/1725. Durant la vérification de l’identité, les délais applicables prévus à l’article 14, paragraphes 3 et 4, dudit règlement ne commencent pas à courir.

5.   Le responsable opérationnel du traitement soit réserve une suite favorable à la personne concernée soit communique par écrit les raisons du rejet total ou partiel, dans les délais prévus à l’article 14, paragraphes 3 et 4, du règlement (UE) 2018/1725.

6.   Dans le cas d’une demande particulièrement complexe ou en cas d’irrégularités ou d’abus manifeste de la personne concernée dans l’exercice de ses droits, lorsque le traitement d’une demande est susceptible d’engendrer un risque élevé pour les droits et libertés d’autres personnes concernées ou lorsque la personne concernée prétend que le traitement est illicite, le responsable opérationnel du traitement consulte le DPD.

1.   Lorsque le Conseil ou le SGC exerce ses fonctions à l’égard des droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des exceptions établies dans ledit règlement s’applique.

2.   Sous réserve des articles 18 à 22 de la présente décision, le Conseil ou le SGC peut limiter, conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement (UE) 2018/1725, l’application des articles 14 à 17, 19, 20 et 35 dudit règlement, ainsi que du principe de transparence établi à son article 4, paragraphe 1, point a), dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19 et 20 dudit règlement, dans le cas où l’exercice de ces droits et obligations compromettrait l’exercice des missions du DPD, entre autres, en révélant ses outils et méthodes d’enquête ou d’audit, ou porterait atteinte aux droits et aux libertés d’autres personnes concernées.

3.   Sous réserve des articles 18 à 22 de la présente décision, le Conseil ou le SGC peut limiter les droits et obligations visés au paragraphe 2 du présent article en ce qui concerne les données à caractère personnel obtenues par le DPD auprès des directions générales ou services du SGC ou auprès d’autres institutions et organes de l’Union. Le Conseil ou le SGC peut agir de la sorte lorsque l’exercice de ces droits et obligations pourrait être limité par ces directions générales ou services du SGC ou par ces autres institutions ou organes sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement, au règlement (UE) 2016/794 du Parlement européen et du Conseil (10) ou au règlement (UE) 2017/1939 du Conseil (11).

Avant d’appliquer des limitations dans les circonstances visées au premier alinéa, le Conseil ou le SGC consulte les institutions ou organes concernés de l’Union à moins qu’il ne soit manifeste que l’application d’une limitation est prévue par l’un des actes visés à cet alinéa.

4.   Toute limitation des droits et obligations visée au paragraphe 2 est nécessaire et proportionnée, en tenant compte des risques qui pèsent sur les droits et libertés des personnes concernées.

1.   Le SGC publie sur le site internet du Conseil des avis relatifs à la protection des données informant toutes les personnes concernées des missions du DPD qui impliquent le traitement de leurs données à caractère personnel.

2.   Le SGC informe individuellement, sous une forme appropriée, toute personne physique qu’elle considère comme une personne concernée par les missions du DPD.

3.   Lorsque le SGC limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2 du présent article, il enregistre et consigne les motifs de la limitation, conformément à l’article 21.

1.   Lorsque le Conseil ou le SGC limite, entièrement ou partiellement, le droit d’accès des personnes concernées à leurs données à caractère personnel, le droit à l’effacement ou le droit à la limitation du traitement, prévus respectivement aux articles 17, 19 et 20 du règlement (UE) 2018/1725, il informe la personne concernée, dans sa réponse à la demande d’accès, d’effacement ou de limitation du traitement, de la limitation appliquée et des principaux motifs de cette limitation, ainsi que de la possibilité d’introduire une réclamation auprès du CEPD ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

2.   La communication d’informations relatives aux motifs de la limitation visée au paragraphe 1 peut être différée, omise ou refusée aussi longtemps que cela risque de nuire à la finalité de la limitation. Le Conseil communique les informations en question à la personne concernée dès qu’elles ne sont plus susceptibles de nuire à cette finalité.

3.   Le SGC enregistre et consigne les motifs de la limitation conformément à l’article 21.

1.   Le SGC enregistre les motifs de toute limitation appliquée en vertu de la présente décision, y compris une évaluation au cas par cas de la nécessité et du caractère proportionné de la limitation, en tenant compte des éléments pertinents de l’article 25, paragraphe 2, du règlement (UE) 2018/1725.

À cette fin, l’enregistrement indique de quelle manière l’exercice de l’un des droits visés aux articles 14 à 17, 19, 20 et 35 dudit règlement, ou du principe de transparence consacré à l’article 4, paragraphe 1, point a), dudit règlement, compromettrait les activités du DPD au titre de la présente décision ou des limitations appliquées en vertu de l’article 17, paragraphe 2 ou 3, de la présente décision, ou porterait atteinte aux droits et libertés d’autres personnes concernées.

2.   L’enregistrement et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés. Ils sont mis à la disposition du CEPD sur demande.

1.   Les limitations visées aux articles 18, 19 et 20 continuent de s’appliquer aussi longtemps que les motifs qui les justifient restent applicables.

2.   Lorsque les motifs d’une limitation visée aux articles 18 et 20 ne sont plus applicables, le SGC lève la limitation et fournit les motifs de la limitation à la personne concernée. Dans le même temps, le SGC informe la personne concernée de la possibilité d’introduire une réclamation auprès du CEPD à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

3.   Le SGC réexamine l’application des limitations visées aux articles 18 et 20 tous les six mois après leur adoption et, dans tous les cas, à l’achèvement de la mission concernée du DPD. Après l’achèvement de la mission, le SGC vérifie chaque année la nécessité de maintenir les limitations ou les reports.

1.   Lorsque d’autres directions générales ou services du SGC concluent que les droits d’une personne concernée devraient être limités en vertu de la présente décision, ils en informent le DPD. Ils donnent également au DPD l’accès à l’enregistrement et à tout document contenant des éléments factuels et juridiques sous-jacents. La participation du DPD à l’application de limitations est documentée en détail.

2.   Le DPD peut demander au responsable délégué du traitement concerné de réexaminer l’application de la limitation. Le responsable délégué du traitement concerné informe le DPD par écrit du résultat du réexamen demandé.