EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32019Q1014(01)
Decision Of The Court Of Justice Of The European Union of 1 October 2019 on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the exercise of non-judicial functions of the Court of Justice of the European Union
Décision de la Cour de justice de l’Union européenne du 1er octobre 2019 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans l’exercice des fonctions autres que juridictionnelles de la Cour de justice de l’Union européenne
Décision de la Cour de justice de l’Union européenne du 1er octobre 2019 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans l’exercice des fonctions autres que juridictionnelles de la Cour de justice de l’Union européenne
OJ L 261, 14.10.2019, p. 97–99
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
14.10.2019 |
FR |
Journal officiel de l’Union européenne |
L 261/97 |
DÉCISION DE LA COUR DE JUSTICE DE L’UNION EUROPÉENNE
du 1er octobre 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans l’exercice des fonctions autres que juridictionnelles de la Cour de justice de l’Union européenne
LA COUR DE JUSTICE DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1) (ci-après le «règlement»), et notamment son article 25,
vu l’avis du Contrôleur européen de la protection des données (ci-après le «CEPD») du 26 juillet 2019, consulté conformément à l’article 41, paragraphe 2, du règlement,
vu l’avis du Comité administratif du 16 septembre 2019,
considérant que le règlement s’applique, de la même manière qu’à toute institution de l’Union, à la Cour de justice de l’Union européenne pour ce qui concerne le traitement des données à caractère personnel dans l’exercice de ses fonctions autres que juridictionnelles;
considérant qu’il convient, par conséquent, de mettre en œuvre, s’agissant d’un tel traitement, l’article 25 du règlement par l’adoption de règles internes visées audit article,
A ARRÊTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
La présente décision établit les règles relatives aux conditions dans lesquelles la Cour de justice de l’Union européenne, dans le cadre de l’exercice de ses fonctions autres que juridictionnelles, peut limiter l’application des articles 14 à 21, 35 et 36 du règlement, ainsi que de l’article 4 du règlement, en vertu de son article 25.
Article 2
Limitations
1. Conformément à l’article 25, paragraphe 1, du règlement, l’application des articles 14 à 21, 35 et 36 du règlement, ainsi que de l’article 4 du règlement dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 21, peut être limitée en cas:
|
a) |
d’enquêtes administratives, menées conformément aux règles internes en la matière; de procédures pré-disciplinaires et disciplinaires ainsi que de procédures de suspension, menées en vertu de l’article 86 du statut des fonctionnaires de l’Union européenne (ci-après le «statut») et des dispositions de son annexe IX; de traitement d’une alerte, conformément aux règles internes en la matière; d’enquêtes de sécurité, menées conformément aux règles internes en la matière; d’examens effectués par le délégué à la protection des données, conformément à l’article 45, paragraphe 2, dernière phrase, du règlement et aux règles internes en la matière; de notification d’un cas à l’Office européen de lutte anti-fraude (OLAF). Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points b), c), d), g) et h), du règlement; |
|
b) |
de prise de contact, par un membre du personnel de la Cour de justice de l’Union européenne, avec le conseiller dans le cadre de la procédure informelle en matière de harcèlement. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, point h), du règlement; |
|
c) |
de traitement d’une demande ou d’une réclamation au sens de l’article 90 du statut. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, point h), du règlement; |
|
d) |
de réalisation d’un audit interne. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points c), g) et h), du règlement; |
|
e) |
de coopération avec les autres institutions, organes ou organismes de l’Union. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points b), c), d), g) et h), du règlement; |
|
f) |
de coopération avec les autorités des États membres et des pays tiers ainsi qu’avec des organisations internationales. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points b), c), g) et h), du règlement; |
|
g) |
de traitement de données à caractère personnel contenues dans des documents produits ou obtenus dans le cadre d’affaires juridictionnelles auxquelles la Cour de justice de l’Union européenne est partie. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points e) et h), du règlement. |
2. Les catégories de données comprennent les données d’identification de personnes physiques, les coordonnées, les fonctions et rôles professionnels, les informations sur la conduite et les performances professionnelles et privées, ainsi que les données financières.
3. Toute limitation doit respecter l’essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique.
4. Une évaluation de la nécessité et de la proportionnalité au regard, en particulier, du risque d’atteinte aux droits et libertés des personnes concernées est effectuée au cas par cas avant l’application des limitations. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre les objectifs fixés.
5. Les limitations appliquées ainsi que le résultat de l’analyse de la nécessité et de la proportionnalité au regard, en particulier, du risque d’atteinte aux droits et libertés des personnes concernées sont consignées dans une note établie par le responsable du traitement. Les notes ainsi établies font partie d’un registre ad hoc, qui est tenu par le délégué à la protection des données et qui est mis à disposition du CEPD à sa demande. Le délégué à la protection des données a accès à tout document sous-jacent auxdites notes.
6. Lorsque des données à caractère personnel sont échangées avec d’autres organisations, il est procédé à une consultation sur les motifs pertinents de l’imposition des limitations et sur la nécessité et la proportionnalité des limitations. Cette consultation n’empêche pas l’application de limitations en conformité avec la présente décision.
Article 3
Évaluation des risques, durée de conservation et garanties
1. L’évaluation des risques pour les droits et libertés des personnes concernées dont les droits en matière de protection des données à caractère personnel peuvent faire l’objet de limitations au sens de l’article 25 du règlement, ainsi que la durée de conservation de ces données, sont mentionnées dans le registre des activités de traitement pertinentes, conformément à l’article 31 du règlement et, le cas échéant, dans les analyses d’impact relatives à la protection des données, conformément à l’article 39 du règlement.
2. Des garanties sont mises en œuvre afin de prévenir les abus ou l’accès ou le transfert illicites de données à caractère personnel susceptibles de faire l’objet de limitations au sens de l’article 25 du règlement. Ces garanties comprennent, notamment:
|
a) |
des mesures techniques et organisationnelles qui sont décrites, pour chaque traitement concerné, dans le registre des activités de traitement; |
|
b) |
un suivi régulier des limitations et une révision périodique, qui doit être effectuée au moins une fois tous les six mois. Une révision doit également être effectuée en cas de modification d’éléments essentiels du cas d’espèce. Les limitations sont levées dès que les circonstances qui les justifient ne s’appliquent plus. |
Article 4
Confidentialité des communications électroniques
Outre dans les cas visés à l’article 2, paragraphe 1, et, en particulier, au point a) de celui-ci, le droit à la confidentialité des communications électroniques, au sens de l’article 36 du règlement, peut être limité, dans des cas exceptionnels, sur base de règles internes spécifiques qui précisent les motifs, la procédure à suivre et les garanties à respecter.
Article 5
Information des personnes concernées sur les limitations de leurs droits
1. Des informations générales sont publiées sur le site internet de la Cour de justice de l’Union européenne à l’intention des personnes concernées en ce qui concerne les droits qui peuvent être limités, ainsi que les motifs et les durées de telles limitations, conformément à la présente décision.
2. Lorsque les droits visés aux articles 14 à 21, 35 et 36 du règlement, ainsi qu’à l’article 4 du règlement dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 21, sont limités, en tout ou en partie, la personne concernée est informée des principales raisons qui motivent l’application de la limitation ainsi que de son droit de saisir le CEPD.
3. La communication d’informations sur les motifs de la limitation, visée au paragraphe 2, est différée, omise ou refusée si elle prive d’effet cette limitation. L’évaluation y relative se fait au cas par cas.
Article 6
Entrée en vigueur
La présente décision entre en vigueur le jour de sa publication au Journal officiel de l’Union européenne.
Fait à Luxembourg, le 8 octobre 2019.
Le greffier
A. CALOT ESCOBAR
Le président
K. LENAERTS