1.   La présente décision établit les règles relatives aux conditions dans lesquelles l’EC IMI 2 peut, dans le cadre des procédures définies au paragraphe 2, limiter l’application des droits consacrés aux articles 14 à 22, 35 et 36, ainsi qu’à l’article 4, du règlement (UE) 2018/1725, en vertu de l’article 25 dudit règlement.

2.   La présente décision s’applique, dans le cadre du fonctionnement administratif de l’EC IMI 2, aux opérations de traitement de données à caractère personnel que le bureau du programme effectue aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (CERT-UE, par exemple).

3.   Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).

4.   Lorsque l’EC IMI 2 exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des dérogations établies dans ledit règlement s’applique.

5.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, l’accès, la rectification, l’effacement, la limitation du traitement, la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité des communications.

1.   L’EC IMI 2 met en place les garanties suivantes visant à empêcher une utilisation abusive ou un accès ou transfert illicites de données à caractère personnel (4):

2.   La durée de conservation des données à caractère personnel visées à l’article 1er, paragraphe 3, n’est pas plus longue que nécessaire et appropriée aux finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 6.

3.   Lorsque l’EC IMI 2 envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures de l’EC IMI 2, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas exclusivement, les risques pour la réputation, les risques pour les droits de la défense et le droit d’être entendu.

1.   L’EC IMI 2 n’appliquera de limitations que pour les finalités suivantes:

2.   L’EC IMI 2 peut, à titre d’application spécifique des finalités décrites au paragraphe 1 ci-dessus, appliquer des limitations dans les cas suivants:

Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l’EC IMI 2 consulte les services compétents de la Commission, les institutions, organes et organismes de l’Union ou les autorités compétentes des États membres, à moins qu’il ne soit clair pour l’EC IMI 2 que l’application d’une limitation est prévue par l’un des actes visés à ces points.

1.   Dans des cas dûment justifiés et dans les conditions stipulées par la présente décision, les droits suivants peuvent être limités par le responsable du traitement dans le cadre des opérations de traitement énumérées au paragraphe 2 ci-dessous, lorsque cela est nécessaire et proportionné:

2.   Conformément à l’article 25, paragraphe 2, point a), du règlement (UE) 2018/1725, dans des cas dûment justifiés et dans les conditions stipulées par la présente décision, le responsable du traitement peut appliquer des limitations dans le cadre des opérations de traitement suivantes:

La limitation continue de s’appliquer tant que les raisons la justifiant persistent.

3.   Lorsque l’EC IMI 2 limite, en tout ou en partie, l’application des droits visés au paragraphe 1 ci-dessus, elle prend les mesures décrites aux articles 6 et 7 de la présente décision.

4.   Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, l’EC IMI 2 limite son examen de la demande à ces seules données à caractère personnel.

1.   Toute limitation indiquée à l’article 5 est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.

2.   Si l’application d’une limitation est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. L’évaluation est également effectuée dans le cadre de l’examen périodique, après qu’il a été déterminé si les raisons de fait et de droit justifiant la limitation continuent de s’appliquer. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.

3.   Les limitations sont temporaires; elles sont levées dès lors que les circonstances qui les justifient cessent d’exister. C’est le cas, en particulier, lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.

L’EC IMI 2 examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.

4.   Lorsque l’EC IMI 2 applique, en tout ou en partie, les limitations indiquées à l’article 5 de la présente décision, elle consigne dans un relevé les motifs et la base juridique de la limitation conformément au paragraphe 1 ci-dessus, accompagnés d’une évaluation de la nécessité et de la proportionnalité de la limitation.

Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du contrôleur européen de la protection des données si ce dernier en fait la demande.

1.   L’EC IMI 2 inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet informant les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.

En outre, sans préjudice des dispositions de l’article 6, paragraphe 4, l’EC IMI 2 informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, dans les meilleurs délais et par écrit.

2.   Lorsque l’EC IMI 2 limite, en tout ou en partie, les droits visés à l’article 5, elle informe la personne concernée de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

La communication des informations visées au paragraphe 2 ci-dessus peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.

1.   L’EC IMI 2 informe, sans retard injustifié, son délégué à la protection des données (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne la date à laquelle le DPD a été informé dans le registre.

2.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.

3.   Le DPD intervient tout au long de la procédure. Le responsable du traitement informe le DPD lorsque la limitation a été levée.