Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32019Q1125(01)

    Décision du conseil d’administration de l’Autorité européenne des marchés financiers du 1er octobre 2019 portant adoption de règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l’ESMA

    JO L 303 du 25.11.2019, p. 31–36 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/proc_rules/2020/1125/oj

    25.11.2019   

    FR

    Journal officiel de l’Union européenne

    L 303/31

    DÉCISION DU CONSEIL D’ADMINISTRATION DE L’AUTORITÉ EUROPÉENNE DES MARCHÉS FINANCIERS

    du 1er octobre 2019

    portant adoption de règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l’ESMA

    LE CONSEIL D’ADMINISTRATION,

    vu le traité sur le fonctionnement de l’Union européenne,

    vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,

    vu le règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (2), tel que, le cas échéant, modifié, abrogé ou remplacé, et notamment son article 71,

    vu l’avis du Contrôleur européen de la protection des données (CEPD) du 20 juin 2019 et les lignes directrices du CEPD concernant l’article 25 du nouveau règlement et le règlement intérieur,

    après consultation du comité du personnel,

    considérant ce qui suit:

    (1)

    L’ESMA exerce ses activités conformément au règlement (UE) no 1095/2010 (le «règlement ESMA» et l’«ESMA»), tel que, le cas échéant, modifié, abrogé ou remplacé.

    (2)

    L’ESMA traite plusieurs catégories de données à caractère personnel, y compris des données «objectives» (telles que les données d’identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et/ou des données «subjectives» (concernant le cas d’espèce, telles que la motivation, les données relatives au comportement et les données relatives à l’objet de la procédure ou de l’activité, ou encore les données présentées en lien avec l’objet de la procédure ou de l’activité).

    (3)

    L’ESMA, représentée par son directeur exécutif, agit en qualité de responsable du traitement des données, indépendamment de toute nouvelle délégation du rôle de responsable du traitement au sein de l’ESMA, afin de refléter les responsabilités opérationnelles afférentes à certaines opérations spécifiques de traitement des données à caractère personnel.

    (4)

    Les données à caractère personnel sont stockées de manière sécurisée dans un environnement électronique ou sur papier, empêchant ainsi tout accès illicite aux données par des personnes qui n’ont pas besoin d’en connaître ou tout transfert illicite à ces dernières. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux fins pour lesquelles elles sont traitées pendant la période définie dans les registres de protection des données et les déclarations de confidentialité de l’ESMA.

    (5)

    Dans l’exercice de ses missions, l’ESMA est tenue de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées, notamment ceux ayant trait à la communication d’informations, l’accès et la rectification, l’effacement, la limitation du traitement, la communication à la personne concernée d’une violation de ses données à caractère personnel ou encore la confidentialité des communications, conformément au règlement (UE) 2018/1725.

    (6)

    L’ESMA peut cependant être dans l’obligation de limiter les informations à la personne concernée ou d’autres droits de la personne concernée en vue de protéger, notamment, la confidentialité et l’efficacité de ses propres enquêtes, les enquêtes et les procédures d’autres autorités publiques, ainsi que les droits d’autres personnes associées à ses enquêtes ou à d’autres procédures.

    (7)

    Dans le cadre de son fonctionnement administratif, l’ESMA peut mener un certain nombre d’enquêtes, telles que des enquêtes administratives, des procédures disciplinaires ou encore des activités préliminaires en lien avec la fraude financière, des enquêtes relatives à des cas d’alerte éthique ou de harcèlement, des audits internes, des enquêtes sur la protection des données ou sur l’éthique, des enquêtes sur les TIC, des enquêtes sur la sécurité de l’information et des activités menées dans le cadre de la gestion des risques et des incidents en matière de sécurité. En outre, dans l’exercice de ses missions, l’ESMA mène des enquêtes relatives à ses fonctions de surveillance directe ou d’exécution et peut mener des enquêtes sur des violations potentielles du droit de l’Union ainsi que des enquêtes sur un certain type d’établissement financier ou type de produit ou de comportement en vue d’évaluer les menaces qu’il pourrait faire peser sur la stabilité du système financier.

    (8)

    Les règles internes doivent s’appliquer à toutes les opérations de traitement effectuées par l’ESMA dans le cadre des enquêtes susmentionnées. Elles doivent également s’appliquer aux opérations de traitement qui sont réalisées avant l’ouverture des enquêtes visées ci-dessus, au cours de ces enquêtes et au cours du suivi des résultats de ces enquêtes. Ces règles doivent aussi couvrir l’assistance, la coordination et/ou la coopération que les autorités nationales et organisations internationales demandent à l’ESMA dans le cadre de leurs propres enquêtes administratives.

    (9)

    Avant de faire usage des limitations prévues dans ces règles internes, l’ESMA doit examiner si l’une des exceptions établies dans le règlement (UE) 2018/1725 s’applique. Dans les cas où des limitations s’appliquent, l’ESMA doit expliquer les raisons pour lesquelles ces limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent l’essence des libertés et droits fondamentaux.

    (10)

    L’ESMA doit vérifier si les conditions qui justifient la limitation continuent de s’appliquer et doit lever la limitation quand elle ne s’applique plus.

    (11)

    Le responsable du traitement doit informer le délégué à la protection des données lorsqu’il limite l’application de certains droits des personnes concernées conformément à la présente décision, quand il étend ou lève cette limitation,

    A ARRÊTÉ LA PRÉSENTE DECISION:

    Article premier

    Objet et champ d’application

    1.   La présente décision fixe les règles internes relatives aux conditions dans lesquelles l’ESMA, dans le cadre des activités visées aux paragraphes 2 à 5, peut limiter l’application des droits consacrés aux articles 14 à 21, et 35, du règlement (UE) 2018/1725, ainsi qu’à son l’article 4, conformément à l’article 25 dudit règlement. Ces limitations sont sans préjudice des exceptions aux droits des personnes concernées fixées par le règlement (UE) 2018/1725.

    2.   Dans le cadre du fonctionnement administratif de l’ESMA, les limitations fixées au paragraphe 1 du présent article s’appliquent au traitement des données à caractère personnel par l’ESMA dans le cadre:

    a)

    d’enquêtes administratives et de procédures disciplinaires;

    b)

    du traitement d’irrégularités en liaison avec l’Office européen de lutte antifraude (OLAF);

    c)

    du traitement des cas d’alerte éthique, des situations (formelles et informelles) de harcèlement et des réclamations internes et externes;

    d)

    d’audits internes, d’enquêtes sur la protection des données ou sur l’éthique;

    e)

    d’enquêtes sur les TIC, d’enquêtes sur la sécurité de l’information et d’activités menées dans le cadre de la gestion des incidents et des risques en matière de sécurité, conduites en interne ou impliquant une participation externe.

    3.   Dans le cadre de l’exercice des missions de l’ESMA, les limitations fixées au paragraphe 1 du présent article s’appliquent au traitement des données à caractère personnel par l’ESMA dans le cadre:

    a)

    d’enquêtes relatives aux fonctions de surveillance directe et d’exécution de l’ESMA;

    b)

    d’enquêtes sur des violations potentielles du droit de l’Union au titre de l’article 17 du règlement ESMA; et

    c)

    d’enquêtes sur un certain type d’établissement financier ou type de produit ou de comportement en vue d’évaluer les menaces qu’il pourrait faire peser sur la stabilité du système financier conformément à l’article 22 du règlement ESMA.

    4.   En outre, ces limitations s’appliquent à l’assistance, la coordination et/ou la coopération fournies par l’ESMA aux autorités nationales des marchés financiers, y compris les autorités de pays tiers et les organisations internationales dans le cadre d’enquêtes menées dans l’exercice de leurs missions statutaires.

    5.   Les limitations visées au paragraphe 1 du présent article s’appliquent également aux opérations de traitement qui sont réalisées avant l’ouverture des enquêtes ou d’autres enquêtes administratives visées aux paragraphes 2 à 4 ci-dessus, au cours de ces enquêtes et au cours du suivi des résultats de ces enquêtes.

    6.   La présente décision s’applique à toute catégorie de données à caractère personnel traitées dans le cadre des activités visées aux paragraphes 2 à 5 ci-dessus.

    7.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits ci-après: la communication d’informations à des personnes concernées, le droit d’accès, de rectification, de suppression, de limitation du traitement, de communication à la personne concernée d’une violation de ses données à caractère personnel.

    Article 2

    Responsable du traitement chargé des enquêtes et garanties applicables

    1.   Les mesures de protection mises en place pour éviter les violations des données à caractère personnel, les fuites de données ou encore la divulgation non autorisée de données dans le cadre des enquêtes visées à l’article 1er sont les suivantes:

    a)

    les documents en version papier sont conservés dans des armoires sécurisées et ne sont accessibles qu’au personnel habilité;

    b)

    toutes les données électroniques sont gérées avec les dispositifs, systèmes d’information, applications et ressources de supports de mémoire approuvés de l’ESMA. Les applications de système de gestion des documents de l’ESMA sont utilisées pour organiser, retrouver, partager, maintenir et protéger les données électroniques de l’ESMA. Le personnel habilité de l’ESMA n’est autorisé à accéder aux données électroniques que sur la base du principe du «besoin d’en connaître»;

    c)

    toutes les personnes ayant accès aux données sont liées par l’obligation de confidentialité.

    2.   L’ESMA fait office de responsable des opérations de traitement; elle est représentée par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des registres relatifs à la protection des données publiés sur le site web de l’ESMA.

    3.   La durée de conservation des données à caractère personnel traitées ne doit pas excéder la durée nécessaire et appropriée pour parvenir aux fins pour lesquelles les données sont traitées. La durée de conservation est spécifiée dans les registres relatifs à la protection des données et dans les déclarations de confidentialité visés à l’article 5, paragraphe 1.

    4.   Lorsque l’ESMA envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée est pondéré, notamment au regard du risque pour les droits et libertés d’autres personnes concernées et du risque de priver d’effet les enquêtes ou les procédures de l’ESMA, par exemple par la destruction d’éléments de preuve. Les risques qui pèsent sur les droits et libertés de la personne concernée concernent principalement, mais sans s’y limiter, les risques pour la réputation ainsi que les risques pour les droits à la défense et le droit à être entendu.

    Article 3

    Limitations

    1.   Toute limitation ne peut être appliquée par l’ESMA que pour sauvegarder:

    a)

    la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

    b)

    d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

    c)

    la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques;

    d)

    la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

    e)

    une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) et b);

    f)

    la protection de la personne concernée ou des droits et libertés d’autrui.

    2.   Au titre de l’application spécifique des objectifs décrits au paragraphe 1 ci-avant, l’ESMA peut appliquer des limitations par rapport à des données à caractère personnel échangées avec les services de la Commission ou d’autres institutions, organes et organismes de l’Union, avec des autorités compétentes des États membres ou de pays tiers ou encore avec des organisations internationales, dans les circonstances suivantes:

    a)

    lorsque l’exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d’autres institutions, organes et organismes de l’Union sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’Union;

    b)

    lorsque l’exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4);

    c)

    lorsque l’exercice de ces droits et obligations pourrait compromettre la coopération de l’ESMA avec les pays tiers ou les organisations internationales dans l’accomplissement de ses missions, ou des missions des pays tiers ou des organisations internationales.

    Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l’ESMA consulte les services compétents de la Commission, les institutions, organes et organismes concernés de l’Union ou les autorités compétentes des États membres, à moins qu’il ne soit manifeste pour elle que l’application d’une limitation est prévue par l’un des actes visés à ces points.

    3.   Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.

    4.   Si l’application d’une limitation est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des présentes règles. Elle est documentée au cas par cas au moyen d’une note d’évaluation interne dans une optique de responsabilité.

    5.   Les limitations sont levées dès que les circonstances qui les justifient ne sont plus d’application. Plus particulièrement, lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou libertés d’autres personnes concernées.

    Article 4

    Réexamen par le délégué à la protection des données

    1.   Le responsable du traitement informe, sans retard injustifié, le délégué à la protection des données (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement fournit au DPD un accès à la note interne contenant l’évaluation de la nécessité et de la proportionnalité de la limitation ainsi que, le cas échéant, des éléments factuels et juridiques sous-jacents, et consigne dans le dossier la date à laquelle le DPD a été informé.

    2.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.

    3.   Le responsable du traitement informe le DPD de la levée de la limitation.

    4.   Le responsable du traitement documente la participation du DPD tout au long des différentes étapes de la procédure, à compter de la date à laquelle le DPD a été informé.

    5.   La note interne et, le cas échéant, les éléments factuels et juridiques sous-jacents sont mis à la disposition du Contrôleur européen de la protection des données si ce dernier en fait la demande.

    Article 5

    Communication d’informations aux personnes concernées

    1.   L’ESMA publie sur son site internet les registres relatifs à la protection des données, qui informent toutes les personnes concernées de ses activités supposant le traitement de données à caractère personnel, y compris les informations relatives à la limitation potentielle des droits des personnes concernées.

    2.   L’ESMA informe individuellement toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’enquête, du registre relatif à la protection des données des opérations de traitement spécifiques en question, sans retard injustifié et par écrit.

    3.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, l’ESMA peut limiter, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2. En pareil cas, l’ESMA consigne dans une note interne les motifs et la base juridique de la limitation conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de la nécessité et de la proportionnalité de la limitation.

    4.   La limitation visée au paragraphe 3 continue de s’appliquer tant que les raisons la justifiant persistent.

    Lorsque les raisons de la limitation ne s’appliquent plus, l’ESMA notifie à la personne concernée le registre relatif à la protection des données en question et les principales raisons de la limitation. Cet avis peut être accompagné d’une invitation à soumettre des observations sur les constatations de l’enquête en cours, dans le cadre de l’exercice des droits de la défense de la personne concernée. Dans le même temps, l’ESMA informe la personne concernée de son droit de déposer une réclamation auprès du Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

    L’ESMA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question.

    Article 6

    Droit d’accès de la personne concernée

    1.   aisant à la suite d’une demande de la personne concernée, l’ESMA peut limiter, en tout ou en partie, le droit de cette personne concernée d’obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées par l’ESMA dans le cadre d’une enquête visée à l’article 1er de la présente décision et, lorsqu’elles le sont, le droit d’accès auxdites données et à d’autres informations visées à l’article 17 du règlement (UE) 2018/1725.

    2.   Lorsque l’ESMA limite le droit d’accès, elle informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

    3.   La communication des informations visées au paragraphe 2 peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.Si tel est le cas, l’ESMA consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée.

    4.   L’ESMA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question.

    Article 7

    Droit de rectification, droit à l’effacement et droit à la limitation du traitement

    1.   Faisant à la suite d’une demande de la personne concernée, l’ESMA peut, dans le cadre d’une enquête visée à l’article 1er de la présente décision, limiter, en tout ou en partie, le droit de cette personne concernée d’obtenir une rectification des données à caractère personnel la concernant, d’effacer ou de limiter le traitement des données à caractère personnel la concernant conformément aux articles 18, 19 et 20 du règlement (UE) 2018/1725.

    2.   Dans le cas où l’ESMA limite l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement susmentionnés, elle prend les mesures visées à l’article 6, paragraphes 2 et 3, de la présente décision.

    3.   L’ESMA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question.

    Article 8

    Communication à la personne concernée d’une violation de données à caractère personnel

    1.   L’ESMA communique à la personne concernée une violation de données à caractère personnel dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique conformément à l’article 35 du règlement (UE) 2018/1725.

    2.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, l’ESMA peut limiter, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 1 du présent article. En pareil cas, l’ESMA consigne dans une note interne les motifs et la base juridique de la limitation conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de la nécessité et de la proportionnalité de la limitation.

    3.   La limitation visée au paragraphe 2 continue de s’appliquer tant que les raisons la justifiant persistent.

    Lorsque les raisons des limitations cessent de s’appliquer, l’ESMA informe la personne concernée d’une violation de données à caractère personnel et des principales raisons de la limitation. Dans le même temps, l’ESMA informe la personne concernée de son droit de déposer une réclamation auprès du Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

    L’ESMA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question.

    Article 9

    Entrée en vigueur

    La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.

    Fait à Helsinki, le 1er octobre 2019.

    Pour le conseil d’administration

    Steven MAIJOOR

    Le président

    (1)  JO L 295 du 21.11.2018, p. 39.

    (2)  JO L 331 du 15.12.2010, p. 84.

    (3)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

    (4)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89)

    Top