EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32018D1962
Limitation des droits des personnes concernées — Règles internes de la Commission
- Date de la dernière révision:
- 03/04/2019
- Date de création initiale:
- 04/07/2019
- Code de la synthèse:
-
- 31.08.00.00 Données à caractère personnel et règles relatives à la protection de la vie privée
- Descripteur EUROVOC:
-
- fonctionnaire européen
- institution de l'Union européenne
- politique commerciale
- politique de la concurrence
- procédure disciplinaire
- protection de la vie privée
- droit de l'informatique
- réglementation des ententes
- carte de santé
- sécurité européenne
- vérification des comptes
- protection des données
- agent (UE)
- communication des données
- données personnelles
- fonctionnement institutionnel
- organisme de l'UE
- soins de santé
- audit
- Office européen de lutte antifraude
- statut des fonctionnaires de l’UE
- Code répertoire:
-
- 01.40.40.00 Questions générales, financières et institutionnelles / Dispositions institutionnelles / Commission
- 01.50.00.00 Questions générales, financières et institutionnelles / Administration et statut
- 13.20.60.00 Politique industrielle et marché intérieur / Politique industrielle: actions sectorielles / Technologie de l'information, télécommunications et informatique
- 15.30.00.00 Environnement, consommateurs et protection de la santé / Protection de la santé
- Document(s) résumé(s):
- Auteur:
- Office des publications de l’Union européenne
- Organisme(s) responsable(s):
- Office des publications de l’Union européenne
Limitation des droits des personnes concernées — Règles internes de la Commission
SYNTHÈSE DES DOCUMENTS:
QUEL EST L’OBJET DE CES DÉCISIONS?
Elles établissent les règles internes conformément auxquelles la Commission européenne peut limiter les droits des personnes physiques, qu’elles exercent en vertu du règlement (UE) 2018/1725. Les règles internes s’appliquent au traitement de données à caractère personnel dans certains domaines et à des fins spécifiques.
POINTS CLÉS
Les données à caractère personnel représentent toute information se rapportant à une personne physique identifiée ou identifiable («personne concernée»). Une personne physique est identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (tel qu’un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne) ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Le nouveau cadre juridique de l’Union européenne (UE) sur la protection et la libre circulation des données à caractère personnel se compose notamment:
- du règlement général sur la protection des données (RGPD), qui établit les droits des personnes physiques concernant leurs données à caractère personnel, les protège à l’égard du traitement de leurs données à caractère personnel au sein des pays de l’Union, et garantit la libre circulation de ces données;
- du règlement (UE) 2018/1725, qui établit les droits des personnes physiques concernant leurs données à caractère personnel, les protège à l’égard du traitement de leurs données à caractère personnel par les institutions, les organes et les organismes de l’Union, et garantit la libre circulation de ces données.
Ces règlements sont considérés équivalents et doivent être interprétés comme étant identiques.
L’article 25 du règlement (UE) 2018/1725 prévoit la possibilité, dans certains cas, pour les institutions et organes de l’Union européenne de limiter les droits des personnes physiques, à la condition que ces limitations soient prévues par le droit de l’UE. Dans ce contexte, la Commission a adopté sept décisions qui indiquent les motifs des limitations possibles afin de sauvegarder les objectifs importants d’intérêt public général de l’Union.
En se fondant sur ces décisions et en effectuant une évaluation au cas par cas de la nécessité et de la proportionnalité des limitations, la Commission détermine si les droits d’une personne physique devraient être limités dans une situation donnée.
Les droits des personnes physiques suivants peuvent être limités:
- leur droit à l’information à propos:
- du traitement de leurs données à caractère personnel, et
- des violations de leurs données à caractère personnel pouvant donner lieu à un risque élevé pour leurs droits et leurs libertés;
- leur droit d’accès à leurs données à caractère personnel, leur droit à l’effacement ou à la limitation du traitement de leurs données à caractère personnel.
Les sept décisions sont toutes présentées sous la même forme, chacune comprenant plusieurs ou la totalité de ces éléments:
- Objet et champ d’application
- Exigence d’une évaluation au cas par cas de chaque demande d’une personne concernée.
- Exceptions et/ou limitations applicables
- Avant d’appliquer une limitation, la Commission doit d’abord déterminer si l’une des exceptions relatives aux droits des personnes concernées, prévues dans le règlement (UE) 2018/1725, s’applique.
- Fourniture d’informations aux personnes concernées
- La Commission doit publier sur son site internet les avis relatifs à la protection des données, qui informent toutes les personnes concernées de ses activités de traitement des données dans le domaine considéré.
- La Commission doit informer individuellement, sous une forme appropriée, toute personne individuellement touchée par une enquête ou par une mesure appliquée dans l’un des domaines considérés.
- Droits d’accès des personnes concernées à leurs données à caractère personnel, droits à l’effacement ou à la limitation du traitement de celles-ci
- Si la Commission limite l’accès aux données personnelles, le droit à l’effacement et/ou le droit à la limitation de traitement, elle doit informer la personne concernée de la limitation appliquée, de ses principaux motifs et de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
- Enregistrement des limitations et consignation de l’enregistrement dans un registre
- La Commission doit enregistrer les motifs de toute limitation appliquée, y compris une évaluation de la nécessité et de la proportionnalité de la limitation.
- Durée des limitations
- Les limitations continuent de s’appliquer aussi longtemps que les motifs qui les justifient restent valables.
- Réexamen par le délégué à la protection des données (DPD) de la Commission
- Le DPD doit être informé, dans les plus brefs délais, chaque fois que les droits de personnes concernées sont limités.
- Sur demande, il doit avoir accès à l’enregistrement et à tout document contenant des éléments factuels et juridiques sous-jacents.
- Il peut demander un réexamen de la limitation et doit être informé par écrit du résultat du réexamen demandé.
Les sept décisions couvrent la limitation des droits des personnes concernées dans les domaines suivants:
- Sécurité intérieure des institutions de l’Union européenne
- S’applique au traitement de données à caractère personnel afin de garantir la sécurité des personnes, des biens et des informations à la Commission.
- La Commission doit informer individuellement les témoins et les personnes concernées par une enquête de sécurité du traitement de leurs données à caractère personnel.
- En outre, la Commission doit informer individuellement les personnes concernées dont les données sont traitées dans le cas d’une vérification des antécédents conformément à l’article 7, paragraphe 5, de la décision (UE, Euratom) 2015/443.
- Elle doit également informer individuellement les personnes dont les données sont traitées dans le contexte de fouilles des locaux de la Commission et d’examen des systèmes d’information et de communication et des équipements.
- Enquêtes administratives, procédures pré-disciplinaires et disciplinaires et procédures de suspension
- Les droits et obligations fixés par le règlement (UE) 2018/1725 peuvent être limités s’ils sont susceptibles de compromettre la finalité des enquêtes administratives, des procédures pré-disciplinaires et disciplinaires, ainsi que des procédures de suspension, ou de porter atteinte aux droits et libertés d’autres personnes concernées.
- Données personnelles médicales
- La Commission peut limiter, au cas par cas, le droit d’accès direct des personnes concernées à leurs données personnelles médicales à caractère psychologique ou psychiatrique, lorsque l’accès à ces données est susceptible de représenter un risque pour la santé de la personne concernée.
- Cette limitation est proportionnée à ce qui est strictement nécessaire pour protéger la personne concernée.
- Enquêtes en matière de défense commerciale et de politique commerciale
- Les droits et obligations fixés par le règlement (UE) 2018/1725 peuvent être limités s’ils sont susceptibles de compromettre la finalité des activités de politique commerciale et de défense commerciale de la Commission, ou de porter atteinte aux droits et libertés d’autres personnes concernées.
- Office européen de lutte antifraude (OLAF)
- S’applique au traitement de données à caractère personnel par l’OLAF (ainsi qu’au traitement de données à caractère personnel par les services et agences exécutives de la Commission qui doivent être transmises à l’OLAF) afin d’accomplir ses tâches.
- Les enquêtes menées par l’OLAF sont totalement indépendantes de la Commission.
- L’OLAF détermine si une exception devrait être appliquée aux droits des personnes concernées.
- Les avis relatifs à la protection des données informant les personnes concernées des activités qui impliquent le traitement de leurs données à caractère personnel sont publiés sur le site internet de l’OLAF.
- Le DPD de l’OLAF réexamine toute limitation des droits des personnes concernées.
- Activités d’audit interne
- Les droits et obligations fixés par le règlement (UE) 2018/1725 peuvent être limités dans le cadre des opérations de traitement effectuées par la Commission dans l’exercice de ses activités d’audit interne, dans le cas où l’exercice de ces droits et obligations compromettrait la conduite des activités d’audit interne, notamment en révélant ses outils et méthodes d’audit, ou porterait atteinte aux droits et libertés d’autres personnes concernées.
- En outre, la Commission peut être contrainte à limiter l’application des droits des personnes concernées afin de protéger les opérations de traitement des services de la Commission ou d’autres institutions, organes et organismes de l’Union ou d’autorités de pays de l’UE et d’organisations internationales, ainsi que du comité de suivi des audits.
- La Commission informe toutes les personnes des activités d’audit interne impliquant le traitement de leurs données à caractère personnel et de leurs droits en publiant des avis relatifs à la protection des données sur son site internet. Le cas échéant, la Commission assure que les personnes concernées sont informées individuellement sous une forme appropriée.
- Concurrence
- Les droits et obligations fixés par le règlement (UE) 2018/1725 peuvent être limités s’ils sont susceptibles de compromettre la finalité des activités d’enquête et de contrôle de la Commission, notamment en révélant ses outils et méthodes d’enquête, ou de porter atteinte aux droits et libertés d’autres personnes concernées.
DEPUIS QUAND CES DÉCISIONS S’APPLIQUENT-ELLES?
- Les décisions (UE) 2018/1927, (UE) 2018/1961, (UE) 2018/1962, (UE) 2018/1996 et (UE) 2019/154 s’appliquent depuis le 11 décembre 2018.
- La décision (UE) 2019/165 s’applique depuis le 7 février 2019.
- La décision (UE) 2019/236 s’applique depuis le 11 février 2019.
CONTEXTE
Pour plus d’informations, voir:
- Réforme des règles de l’UE en matière de protection des données 2018 (Commission européenne).
DOCUMENTS PRINCIPAUX
Décision (UE) 2018/1927 de la Commission du 5 décembre 2018 portant règles internes relatives au traitement des données à caractère personnel par la Commission européenne dans le domaine de la concurrence en ce qui concerne la communication d’informations aux personnes concernées et la limitation de certains droits (JO L 313 du 10.12.2018, p. 39-44)
Décision (UE) 2018/1961 de la Commission du 11 décembre 2018 portant règles internes relatives à la communication d’informations aux personnes concernées et à la limitation de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins d’activités d’audit interne (JO L 315 du 12.12.2018, p. 35-40)
Décision (UE) 2018/1962 de la Commission du 11 décembre 2018 établissant les règles internes concernant le traitement des données à caractère personnel par l’Office européen de lutte antifraude (OLAF) en ce qui concerne la fourniture d’informations aux personnes concernées et la limitation de certains de leurs droits conformément à l’article 25 du règlement (UE) 2018/1725 du Parlement européen et du Conseil (JO L 315 du 12.12.2018, p. 41-46)
Décision (UE) 2018/1996 de la Commission du 14 décembre 2018 établissant les règles internes concernant la fourniture d’informations aux personnes concernées et la restriction de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins des enquêtes en matière de défense commerciale et de politique commerciale (JO L 320 du 17.12.2018, p. 40-44)
Décision (UE) 2019/154 de la Commission du 30 janvier 2019 établissant les règles internes concernant la limitation du droit d’accès des personnes concernées à leur dossier médical (JO L 27 du 31.1.2019, p. 33-35)
Décision (UE) 2019/165 de la Commission du 1er février 2019 portant règles internes relatives à la communication d’informations aux personnes concernées et à la limitation, par la Commission, de certains de leurs droits en matière de protection des données dans le contexte des enquêtes administratives, des procédures pré-disciplinaires et disciplinaires et des procédures de suspension (JO L 32 du 4.2.2019, p. 9-13)
Décision (UE) 2019/236 de la Commission du 7 février 2019 portant règles internes relatives à la communication d’informations aux personnes concernées et à la limitation, par la Commission européenne, de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins de la sécurité intérieure des institutions de l’Union (JO L 37 du 8.2.2019, p. 144-149)
DOCUMENTS LIÉS
Applicable à la Commission européenne:
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39-98)
Décision (UE, Euratom) 2017/46 de la Commission du 10 janvier 2017 sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne (JO L 6 du 11.1.2017, p. 40-51)
Les amendements successifs apportés à la décision (UE, Euratom) 2017/46 ont été intégrés au texte de base. Cette version consolidée n’a qu’une valeur documentaire.
Décision (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission (JO L 72 du 17.3.2015, p. 41-52)
Applicable dans les pays de l’UE:
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)
Voir la version consolidée.
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)
Voir la version consolidée.
dernière modification 03.04.2019