1.   La présente décision établit les règles relatives aux conditions dans lesquelles l’Agence peut, dans le cadre des procédures définies au paragraphe 2 du présent article, limiter l’application des droits prévus aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4, du règlement (UE) 2018/1725, conformément à l’article 25 dudit règlement.

2.   La présente décision s’applique, dans le cadre du fonctionnement administratif de l’Agence, aux opérations de traitement de données à caractère personnel effectuées par elle aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires et des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; traiter des cas de dénonciation des dysfonctionnements; mener des procédures (formelles et informelles) en cas de harcèlement; traiter des plaintes internes et externes; procéder à des audits internes; confier la conduite d’enquêtes au délégué à la protection des données, conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; surveiller les marchés de gros de l’énergie et la coordination des activités des autorités de régulation nationales en matière de violations potentielles du REMIT et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (p. ex. CERT-UE).

3.   Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).

4.   Lorsque l’Agence exerce ses fonctions au regard des droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des dérogations établies dans ledit règlement s’applique.

5.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès et de rectification, le droit à l’effacement, à la limitation du traitement et à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications.

1.   Les garanties mises en place pour éviter les violations, les fuites ou la divulgation non autorisée de données sont les suivantes:

2.   L’Agence fait office de responsable des opérations de traitement; elle est représentée par son directeur, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis relatifs à la protection des données ou des registres publiés sur le site web et/ou l’intranet de l’Agence.

3.   La durée de conservation des données à caractère personnel visées à l’article 1, paragraphe 3, de la présente décision n’est pas plus longue que nécessaire et appropriée aux finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 5, paragraphe 1, de la présente décision.

4.   Lorsque l’Agence envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de nuire à l’efficacité des enquêtes ou procédures de l’Agence, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.

1.   L’Agence n’applique une limitation que pour garantir:

2.   L’Agence peut, à titre d’application spécifique des finalités décrites au paragraphe 1 ci-dessus, appliquer des limitations dans les cas suivants:

Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l’Agence consulte les services compétents de la Commission, les institutions, organes et organismes de l’Union ou les autorités compétentes des États membres, à moins qu’il ne soit manifeste pour l’Agence que l’application d’une limitation est prévue par l’un des actes visés à ces points.

3.   Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte l’essence des libertés et droits fondamentaux dans une société démocratique.

4.   Si l’application d’une limitation est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des présentes règles. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.

5.   Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits et libertés des autres personnes concernées.

1.   L’Agence fait participer, sans délai injustifié, son délégué à la protection des données (le «DPD») à toutes les procédures pertinentes instituées par la présente décision et veille à ce que sa participation soit consignée. Cela inclut de consigner par écrit toutes les appréciations et avis pertinents rendus par le DPD concernant l’applicabilité d’une limitation à un cas spécifique.

2.   En particulier, l’Agence informe, dans les meilleurs délais, son DPD chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation et consigne la date à laquelle le DPD a été informé dans le registre.

3.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.

4.   Le responsable du traitement informe le DPD de la levée de la limitation.

1.   Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit à l’information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:

L’Agence inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet pour informer les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Ces informations indiquent les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.

2.   Sans préjudice des dispositions du paragraphe 3, l’Agence informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, dans les meilleurs délais et par écrit.

3.   Lorsque l’Agence limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2, elle consigne les motifs et la base juridique de la limitation conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de la nécessité et de la proportionnalité de la limitation.

Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.

4.   La limitation visée au paragraphe 3 continue de s’appliquer tant que les raisons la justifiant persistent.

Lorsque les raisons des limitations ne s’appliquent plus, l’Agence informe la personne concernée des principales raisons qui motivent l’application d’une limitation. Dans le même temps, elle informe la personne concernée de son droit de déposer une réclamation auprès du Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

L’Agence réexamine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question afin de déterminer si les raisons de fait et de droit justifiant la limitation continuent de s’appliquer. Par la suite, le responsable du traitement vérifie tous les six mois la nécessité de maintenir la limitation.

1.   Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit d’accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, l’Agence limite son examen de la demande à ces seules données à caractère personnel.

2.   Lorsque l’Agence limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:

La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.

L’Agence réexamine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question afin de déterminer si les raisons de fait et de droit justifiant la limitation continuent de s’appliquer. Par la suite, le responsable du traitement vérifie tous les six mois la nécessité de maintenir la limitation.

3.   Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.

1.   Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit à la rectification, à l’effacement et à la limitation peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

2.   Dans le cas où l’Agence limite, en tout ou en partie, l’application du droit de rectification, à l’effacement et à la limitation du traitement prévu à l’article 18, à l’article 19, paragraphe 1, et à l’article 20, paragraphe 1, du règlement (UE) 2018/1725, elle prend les mesures visées à l’article 6, paragraphe 2, de la présente décision. L’article 6, paragraphe 3, de la présente décision s’applique à toute limitation mise en œuvre en vertu du présent article.

1.   Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

2.   Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

3.   Dans le cas où l’Agence limite la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, elle prend les mesures prévues à l’article 5, paragraphes 3 et 4, de la présente décision. L’article 6, paragraphe 3, de la présente décision s’applique à toute limitation mise en œuvre en vertu du présent article.