1.   Le CEPD agit dans l’intérêt public comme un organe expert, indépendant, fiable, proactif et faisant autorité en matière de respect de la vie privée et de protection des données à caractère personnel.

2.   Le CEPD agit conformément au cadre déontologique du CEPD.

1.   Le CEPD publie régulièrement ses priorités stratégiques et un rapport annuel.

2.   Le CEPD, en tant que responsable du traitement, montre l’exemple en respectant la législation applicable en matière de protection des données à caractère personnel.

3.   Le CEPD communique ouvertement et en toute transparence avec les médias et les parties prenantes et explique ses activités au public dans un langage clair.

1.   Le CEPD utilise des moyens administratifs et techniques modernes pour maximiser l’efficience et l’efficacité dans l’accomplissement de ses tâches, y compris la communication interne et la délégation appropriée des tâches.

2.   Afin de garantir le plus haut niveau de gestion de la qualité, le CEPD met en place des mécanismes et des outils appropriés, tels que des normes de contrôle interne, un processus de gestion des risques et le rapport d’activité annuel.

1.   Sans préjudice du protocole d’accord conclu entre le CEPD et l’EDPB le 25 mai 2018, en particulier le point VI, paragraphe 5, le directeur exerce les compétences conférées à l’autorité investie du pouvoir de nomination au sens de l’article 2 du statut des fonctionnaires de l’Union européenne fixé par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (7) et les compétences conférées à la personne habilitée à conclure des contrats d’engagement au sens de l’article 6 du régime applicable aux autres agents de l’Union européenne fixé par le règlement (CEE, Euratom, CECA) no 259/68 ainsi que toute autre compétence y relative résultant d’autres décisions administratives tant internes au CEPD que de nature interinstitutionnelle, pour autant que la décision du contrôleur européen de la protection des données relative à l’exercice des compétences conférées à l’autorité investie du pouvoir de nomination et à la personne habilitée à conclure les contrats d’engagement ne s’y oppose pas.

2.   Le directeur peut déléguer l’exercice des compétences visées au paragraphe 1 au fonctionnaire chargé de la gestion des ressources humaines.

3.   Le directeur fait rapport au délégué à la protection des données, au responsable de la sécurité locale, au responsable de la sécurité de l’information locale, au responsable de la transparence, au responsable du service juridique, au responsable de la déontologie et au coordonnateur du contrôle interne pour les tâches liées à ces fonctions.

4.   Le directeur assiste le contrôleur européen de la protection des données pour garantir la cohérence et la coordination globale du CEPD ainsi que pour toute autre tâche qui lui est déléguée par le contrôleur européen de la protection des données.

5.   Le directeur peut adopter les décisions du CEPD relatives à l’application des limitations reposant sur les règles internes du CEPD mettant en œuvre l’article 25 du règlement.

1.   La réunion des dirigeants comprend le contrôleur européen de la protection des données, le directeur et les chefs d’unités et de secteurs et assure la surveillance stratégique des travaux du CEPD.

2.   Lorsque la réunion des dirigeants porte sur des questions relatives aux ressources humaines, au budget, aux finances ou à l’administration qui présentent un intérêt pour l’EDPB ou le secrétariat de l’EDPB, elle comprend également le chef du secrétariat de l’EDPB.

3.   La réunion des dirigeants est présidée par le contrôleur européen de la protection des données, ou en cas d’empêchement, par le directeur. En règle générale, la réunion des dirigeants se tient une fois par semaine.

4.   Le directeur assure le bon fonctionnement du secrétariat de la réunion des dirigeants.

5.   Les réunions ne sont pas publiques. Les débats sont confidentiels.

1.   Le contrôleur européen de la protection des données peut déléguer au directeur, le cas échéant et conformément au règlement, la compétence d’adopter et de signer des décisions juridiquement contraignantes, dont le contenu a déjà été déterminé par le contrôleur européen de la protection des données.

2.   Le contrôleur européen de la protection des données peut aussi déléguer, le cas échéant et conformément au règlement, au directeur ou au chef d’unité ou au chef de secteur concerné, la compétence d’adopter et de signer d’autres documents.

3.   Lorsque des compétences lui ont été déléguées en vertu des paragraphes 1 ou 2, le directeur peut les subdéléguer au chef d’unité ou au chef de secteur concerné.

4.   Lorsque le contrôleur européen de la protection des données est empêché ou que le poste est vacant et qu’aucun contrôleur européen de la protection des données n’a été nommé, le directeur, le cas échéant et conformément au règlement, s’acquitte des missions et fonctions du contrôleur européen de la protection des données qui sont nécessaires et urgentes pour garantir la continuité des activités.

5.   Lorsque le directeur est empêché ou que le poste est vacant et qu’aucun fonctionnaire n’a été désigné par le contrôleur européen de la protection des données, les fonctions du directeur sont exercées par le chef d’unité ou le chef de secteur ayant le grade le plus élevé et, à grade égal, la plus grande ancienneté dans le grade et, à ancienneté égale, le plus âgé.

6.   À défaut d’un chef d’unité ou d’un chef de secteur disponible pour exercer les fonctions du directeur comme précisé au paragraphe 5, ou de la désignation d’un fonctionnaire par le contrôleur européen de la protection des données, la suppléance est exercée par le fonctionnaire ayant le grade le plus élevé et, à grade égal, la plus grande ancienneté dans le grade et, à ancienneté égale, le plus âgé.

7.   Lorsque tout autre supérieur hiérarchique est empêché d’exercer ses fonctions, et qu’aucun fonctionnaire n’a été désigné par le contrôleur européen de la protection des données, le directeur désigne un fonctionnaire en accord avec le contrôleur européen de la protection des données. À défaut d’une telle désignation, la suppléance est exercée par le fonctionnaire présent dans l’unité ou le secteur concerné(e) ayant le grade le plus élevé et, à grade égal, la plus grande ancienneté dans le grade et, à ancienneté égale, le plus âgé.

8.   Les paragraphes 1 à 7 s’appliquent sans préjudice des règles concernant la délégation des compétences conférées à l’autorité investie du pouvoir de nomination ou des compétences relatives aux questions financières conformément aux articles 9 et 12.

1.   Le contrôleur européen de la protection des données délègue les compétences de l’ordonnateur au directeur conformément à la charte des missions et responsabilités concernant le budget et l’administration du CEPD prévue conformément à l’article 72, paragraphe 2, du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (8).

2.   En ce qui concerne les questions budgétaires relatives à l’EDPB, l’ordonnateur exerce sa fonction conformément au protocole d’accord conclu entre le CEPD et l’EDPB.

3.   La fonction de comptable du CEPD, conformément à la décision du contrôleur européen de la protection des données du 1er mars 2017 (9), est exercée par le comptable de la Commission.

1.   Le CEPD tient un registre des nominations des délégués à la protection des données qui lui sont communiquées par les institutions conformément au règlement.

2.   La liste actualisée des délégués à la protection des données des institutions est publiée sur le site internet du CEPD.

3.   Le CEPD fournit des orientations aux délégués à la protection des données, en particulier en participant aux réunions organisées par le réseau des délégués à la protection des données des institutions.

1.   Le CEPD ne traite pas les réclamations anonymes.

2.   Le CEPD traite les réclamations soumises par écrit, y compris sous forme électronique, dans toute langue officielle de l’Union, et qui contiennent les détails nécessaires à la compréhension de la réclamation.

3.   Lorsqu’une réclamation portant sur les mêmes faits a été présentée par le réclamant au Médiateur européen, le CEPD examine sa recevabilité à la lumière des dispositions du Mémorandum d’accord conclu entre le CEPD et le Médiateur européen.

4.   Le CEPD décide comment traiter une réclamation, en tenant compte:

5.   Le cas échéant, le CEPD facilite un règlement amiable de la réclamation.

6.   Le CEPD suspend l’enquête relative à une réclamation dans l’attente d’une décision d’un tribunal ou d’une autre instance judiciaire ou administrative sur la même question.

7.   Le CEPD ne divulgue l’identité du réclamant que dans la mesure nécessaire pour la bonne conduite de l’enquête. Le CEPD ne divulgue aucun document relatif à la réclamation, à l’exception d’extraits anonymisés ou de résumés de la décision finale, à moins que la personne concernée donne son consentement pour une telle divulgation.

8.   Si les circonstances de la réclamation le requièrent, le CEPD coopère avec les autorités de contrôle compétentes, y compris les autorités de contrôle nationales compétentes qui agissent dans le cadre de leurs compétences respectives.

1.   Le CEPD informe le réclamant, dans les meilleurs délais, de l’issue d’une réclamation et de l’action prise.

2.   Lorsqu’une réclamation est jugée irrecevable ou que l’enquête est abandonnée, le CEPD conseille au réclamant, le cas échéant, de s’adresser à une autre autorité compétente.

3.   Le CEPD peut décider de mettre fin à une enquête à la demande du réclamant. Cela n’empêche pas le CEPD de poursuivre son enquête sur l’objet de la réclamation.

4.   Le CEPD peut clore une enquête lorsque le réclamant n’a pas fourni les informations demandées. Le CEPD informe le réclamant de la décision.

1.   Lorsque le CEPD prend une décision sur une réclamation, le réclamant ou l’institution concernée peuvent demander au CEPD de revoir sa décision. Une telle demande est présentée dans le mois qui suit la décision. Le CEPD réexamine sa décision lorsque le réclamant ou l’institution avance de nouveaux éléments factuels ou arguments juridiques.

2.   Lorsqu’il rend sa décision relative à une réclamation, le CEPD informe le réclamant et l’institution concernée qu’ils ont le droit de demander une révision de la décision et de la contester devant la Cour de justice de l’Union européenne conformément à l’article 263 du traité sur le fonctionnement de l’Union européenne.

3.   Lorsque, à la suite d’une demande de révision de sa décision relative à une réclamation, le CEPD rend une nouvelle décision révisée, il informe le réclamant et l’institution concernée qu’ils peuvent contester cette nouvelle décision devant la Cour de justice de l’Union européenne conformément à l’article 263 du traité sur le fonctionnement de l’Union européenne.

1.   Le CEPD met à disposition une plateforme sécurisée pour la notification d’une violation de données à caractère personnel par une institution et met en œuvre des mesures de sécurité pour l’échange d’informations relatives à une violation de données à caractère personnel.

2.   Dès qu’il a reçu la notification, le CEPD en accuse réception à l’institution concernée.

1.   En réponse aux demandes formulées par la Commission en vertu de l’article 42, paragraphe 1, du règlement, le CEPD rend des avis ou présente des observations formelles.

2.   Les avis sont publiés sur le site internet du CEPD en anglais, en français et en allemand. Les résumés des avis sont publiés au Journal officiel de l’Union européenne (série C). Les observations formelles sont publiées sur le site internet du CEPD.

3.   Le CEPD peut refuser de répondre à une consultation lorsque les conditions énoncées à l’article 42 du règlement ne sont pas remplies, y compris en l’absence d’incidence sur la protection des droits et libertés des personnes à l’égard de la protection des données.

4.   Lorsque, malgré tous les efforts déployés, un avis conjoint du CEPD et de l’EDPB, conformément à l’article 42, paragraphe 2, du règlement, ne peut être rendu dans le délai imparti, le CEPD peut rendre un avis sur la même question.

5.   Lorsque la Commission réduit un délai applicable à une consultation législative en vertu de l’article 42, paragraphe 3, du règlement, le CEPD s’efforce de respecter le délai fixé dans la mesure où cela est raisonnable et possible, compte tenu notamment de la complexité de la question, de la longueur de la documentation et du caractère exhaustif des informations fournies par la Commission.

1.   Le CEPD peut intervenir dans des affaires portées devant la Cour de justice de l’Union européenne conformément à l’article 58, paragraphe 4, du règlement, à l’article 43, paragraphe 3, point i), du règlement (UE) 2016/794, à l’article 85, paragraphe 3, point g), du règlement (UE) 2017/1939, et à l’article 40, paragraphe 3, point g), du règlement (UE) 2018/1727.

2.   Lorsqu’il décide de demander la permission d’intervenir ou d’accepter une invitation de la Cour de justice de l’Union européenne à intervenir, le CEPD examine notamment:

1.   Le CEPD coopère avec les autorités de contrôle nationales ainsi qu’avec l’autorité de contrôle commune instituée en vertu de l’article 25 de la décision 2009/917/JAI du Conseil (10) en vue notamment:

2.   Le cas échéant, le CEPD se prête à une assistance mutuelle et prend part à des opérations conjointes avec des autorités de contrôle nationales, chacun agissant dans le cadre de ses compétences respectives comme prévu dans le règlement, le RGPD et d’autres actes pertinents du droit de l’Union.

3.   Le CEPD, sur invitation, peut prendre part à une enquête menée par une autorité de contrôle ou inviter une autorité de contrôle à prendre part à une enquête conformément aux règles juridiques et procédurales applicables à la partie invitante.

1.   Le CEPD encourage les bonnes pratiques, la convergence et les synergies en matière de protection des données à caractère personnel entre l’Union européenne, les pays tiers et les organisations internationales, y compris par la participation à des réseaux et des événements internationaux et régionaux.

2.   Le cas échéant, le CEPD se prête à l’assistance mutuelle dans les actions d’enquête et d’exécution des autorités de contrôle de pays tiers ou d’organisations internationales.

1.   Le comité du personnel, représentant le personnel du CEPD, y compris le secrétariat de l’EDPB, est consulté en temps utile sur des projets de décisions relatives à la mise en œuvre du statut des fonctionnaires de l’Union européenne et du régime applicable aux autres agents de l’Union européenne fixés par le règlement (CEE, Euratom, CECA) no 259/68 et peut être consulté sur toute autre question d’intérêt général concernant le personnel. Le comité du personnel est informé de toute question relative à l’exécution de ses missions. Il rend ses avis dans les dix jours ouvrés à compter de sa consultation.

2.   Le comité du personnel contribue au bon fonctionnement du CEPD, y compris le secrétariat de l’EDPB, en formulant des propositions sur des questions relatives à l’organisation et aux conditions de travail.

3.   Le comité du personnel est composé de trois membres et de trois suppléants, élus pour une période de deux ans par l’ensemble du personnel du CEPD, y compris le secrétariat de l’EDPB.

1.   Le CEPD désigne un délégué à la protection des données (DPD).

2.   Le DPD est consulté, en particulier lorsque le CEPD, en tant que responsable du traitement, entend appliquer une limitation fondée sur les règles internes mettant en œuvre l’article 25 du règlement.

3.   Conformément au point IV, paragraphe 2, point viii), du protocole d’accord conclu entre le CEPD et l’EDPB, l’EDPB dispose d’un DPD distinct. Conformément au point IV, paragraphe 4, du protocole d’accord conclu entre le CEPD et l’EDPB, le DPD du CEPD et celui de l’EDPB se réunissent régulièrement pour veiller à ce que leurs décisions restent cohérentes.

1.   Le CEPD s’engage à appliquer le principe du multilinguisme, la diversité linguistique et culturelle faisant partie des pierres angulaires et atouts de l’Union européenne. Le CEPD s’efforce de trouver un équilibre entre le principe du multilinguisme et l’obligation de garantir une bonne gestion financière et des économies pour le budget de l’Union européenne, faisant ainsi une utilisation pragmatique de ses ressources limitées.

2.   Le CEPD répond à toute personne qui s’adresse à lui sur une question relevant de sa compétence dans une des langues officielles de l’Union européenne dans la même langue que celle utilisée pour s’adresser à lui. Toutes les réclamations, demandes d’information et autres requêtes peuvent être adressées au CEPD dans une des langues officielles de l’Union européenne, et une réponse doit être fournie dans la même langue.

3.   Le site internet du CEPD est disponible en anglais, en français et en allemand. Les documents stratégiques du CEPD, comme la stratégie pour le mandat du contrôleur européen de la protection des données, sont publiés en anglais, en français et en allemand.

1.   Les décisions du CEPD sont authentifiées par l’apposition de la signature du contrôleur européen de la protection des données ou du directeur conformément aux dispositions de la présente décision. Cette signature peut être manuscrite ou sous forme électronique.

2.   En cas de délégation ou de suppléance conformément à l’article 11, les décisions sont authentifiées par l’apposition de la signature de la personne à laquelle la compétence a été déléguée ou de la personne suppléante. Cette signature peut être manuscrite ou sous forme électronique.

1.   Par décision du contrôleur européen de la protection des données, le CEPD peut mettre en œuvre un système de travail à distance pour l’ensemble ou une partie de son personnel. Cette décision est communiquée au personnel et publiée sur les sites internet du CEPD et de l’EDPB.

2.   Par décision du contrôleur européen de la protection des données, le CEPD peut déterminer les conditions de validité de documents électroniques, les procédures électroniques et les moyens électroniques de transmission des documents aux fins du CEPD. Cette décision est communiquée au personnel et publiée sur le site internet du CEPD.

3.   Le président de l’EDPB est consulté lorsque ces décisions concernent le secrétariat de l’EDPB.