This document is an excerpt from the EUR-Lex website
Document 32021Q0622(01)
Decision No 42-2021 of the Court of Auditors of 20 May 2021 adopting internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the European Court of Auditors
Décision no 42-2021 de la Cour des comptes du 20 mai 2021 portant adoption des règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de leurs données à caractère personnel dans le cadre des activités menées par la Cour des comptes européenne
Décision no 42-2021 de la Cour des comptes du 20 mai 2021 portant adoption des règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de leurs données à caractère personnel dans le cadre des activités menées par la Cour des comptes européenne
JO L 223 du 22.6.2021, pp. 24–27
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
22.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 223/24 |
DÉCISION no 42-2021 DE LA COUR DES COMPTES
du 20 mai 2021
portant adoption des règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de leurs données à caractère personnel dans le cadre des activités menées par la Cour des comptes européenne
LA COUR DES COMPTES EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne (le «TFUE»),
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (le «règlement»), et notamment son article 25 et son chapitre VI,
vu les délibérations de la Cour des comptes en sa réunion du 20 mai 2021,
après consultation du Contrôleur européen de la protection des données à propos de la présente décision, conformément aux dispositions de l’article 41, paragraphe 2, du règlement, lequel a rendu son avis le 23 septembre 2019,
considérant que, dans le cadre de ses activités, la Cour des comptes européenne («la Cour») traite plusieurs catégories de données personnelles et est tenue de respecter les droits des personnes physiques en matière de traitement des données à caractère personnel reconnus par l’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne ainsi que par l’article 16, paragraphe 1, du TFUE;
considérant que, dans certaines circonstances, il est nécessaire de concilier les droits des personnes concernées au titre du règlement avec les besoins des missions et activités de la Cour et qu’à cet effet, l’article 25 du règlement prévoit la possibilité, dans des conditions strictes, de limiter l’application des articles 14 à 20, 35 et 36 ainsi que de l’article 4;
considérant que la Cour ne doit appliquer ces limitations que si elles respectent l’essence des libertés et droits fondamentaux et constituent une mesure strictement nécessaire et proportionnée dans une société démocratique; que la Cour doit traiter toute limitation de manière transparente et en justifier les raisons auprès de la personne concernée;
considérant que la Cour doit lever la limitation dès que les conditions qui la justifient ne s’appliquent plus et évaluer régulièrement ces conditions;
considérant que le délégué à la protection des données de la Cour (le «DPD») doit être informé en temps utile de toute limitation appliquée et procéder à un examen indépendant de l’application des limitations en vue de garantir le respect de la présente décision,
DÉCIDE:
Article premier
Objet et champ d’application
La présente décision établit les règles relatives aux conditions dans lesquelles, en vertu de l’article 25 du règlement, la Cour peut limiter l’application des articles 14 à 20, 35 et 36 ainsi que de l’article 4 dudit règlement.
Article 2
Limitations
1. Conformément à l’article 25, paragraphe 1, du règlement, la Cour peut limiter, au cas par cas, l’application des articles 14 à 20, 35 et 36 ainsi que de l’article 4 dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20, lorsqu’elle:
|
a) |
réalise des audits au titre de l’article 287 du TFUE. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points c), g) et h), du règlement; |
|
b) |
mène des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension, en application de l’article 86 du statut des fonctionnaires de l’Union européenne (1) (le «statut») et des dispositions de son annexe IX. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points b), c), d), f), g) et h), du règlement; |
|
c) |
traite une réclamation interne ou externe introduite à l’encontre d’un de ses agents ou de ses Membres. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, point h), du règlement; |
|
d) |
mène des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points b), c) et h), du règlement; |
|
e) |
garantit que ses agents puissent transmettre en toute confidentialité des informations sur des irrégularités graves dont ils ont connaissance dans l’exercice de leurs fonctions, conformément aux règles internes de la Cour relatives à la transmission d’informations en cas d’irrégularités graves («whistleblowing»). Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points f) et h), du règlement; |
|
f) |
garantit que ses agents qui s’estiment victimes de harcèlement puissent demander en toute confidentialité des conseils et un soutien auprès d’un membre du personnel d’encadrement, d’une personne d’écoute, du médecin-conseil ou d’un médiateur, comme le prévoit la décision no 26-2017 de la Cour sur la politique de préservation d’un climat de travail serein et de lutte contre le harcèlement moral et le harcèlement sexuel. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points f) et h), du règlement; |
|
g) |
réalise des audits internes, conformément à la décision no 38-2016 portant modalités d’application du règlement intérieur de la Cour des comptes. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points c), g) et h), du règlement; |
|
h) |
garantit aux personnes concernées, conformément à l’article 26 bis du statut et aux articles 16 et 91 du régime applicable aux autres agents, l’accès à leurs données médicales à caractère psychologique ou psychiatrique lorsque l’accès direct à ces données est susceptible de représenter un risque pour leur santé, ou l’accès à leurs données médicales lorsque l’exercice de ce droit porte atteinte à leurs droits et libertés ou à ceux d’autrui. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, point h), du règlement; |
|
i) |
garantit la sécurité interne au sein de la Cour, c’est-à-dire la sécurité des personnes, des biens et des informations, y compris lorsqu’elle conduit des enquêtes de sécurité internes, le cas échéant avec une participation extérieure (CERT-UE, autorités nationales de police, etc.). Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points a), b), c), d), g) et h), du règlement; |
|
j) |
garantit que le DPD puisse mener des enquêtes conformément à l’article 45, paragraphe 2, du règlement. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points d), g) et h), du règlement; |
|
k) |
fournit une assistance et une coopération à d’autres institutions, organes ou organismes de l’Union ou les obtient de leur part. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points c), d), g) et h), du règlement; |
|
l) |
fournit une assistance et une coopération à des autorités publiques des États membres de l’Union, à des pays tiers et à des organisations internationales ou les obtient de leur part, que ce soit à leur demande ou de sa propre initiative. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, points c), g) et h), du règlement; |
|
m) |
traite des données à caractère personnel figurant dans des documents obtenus auprès de parties ou d’intervenants dans le cadre d’une procédure judiciaire devant la Cour de justice de l’Union européenne. Les limitations pertinentes peuvent se fonder sur l’article 25, paragraphe 1, point e), du règlement. |
2. Les catégories de données comprennent les données d’identification de personnes physiques, les coordonnées, les fonctions et rôles professionnels, les informations sur la conduite et les performances professionnelles et privées, ainsi que les données financières.
3. Toute limitation doit respecter l’essence des libertés et droits fondamentaux dans une société démocratique et constituer une mesure nécessaire et proportionnée.
4. Le responsable du traitement et le DPD effectuent une évaluation de la nécessité et de la proportionnalité au cas par cas avant d’appliquer des limitations. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre les objectifs fixés.
5. La Cour consigne les motifs des limitations appliquées, la base juridique, l’évaluation des risques pour les droits et libertés des personnes concernées dont les données à caractère personnel peuvent faire l’objet de limitations, ainsi que l’évaluation de la nécessité et de la proportionnalité de chaque limitation. Cette inscription et, le cas échéant, les documents contenant des éléments de fait et de droit sous-jacents sont versés dans un registre ad hoc, qui est mis à la disposition du Contrôleur européen de la protection des données (le «CEPD») sur demande. Les documents relatifs aux limitations appliquées au dossier médical ne sont enregistrés que dans le dossier médical concerné.
6. Lorsqu’elle traite des données à caractère personnel échangées avec d’autres organisations dans le cadre de ses missions, la Cour et ces organisations doivent se consulter sur les éventuels motifs pertinents de l’imposition de limitations et sur la nécessité et la proportionnalité de celles-ci, à moins que cela ne compromette les activités de la Cour.
Article 3
Suivi des limitations et réexamen
1. Les limitations visées à l’article 2 continuent de s’appliquer tant que les circonstances les justifiant persistent.
2. Tous les six mois, la Cour réexamine l’application d’une limitation. Un réexamen doit également être effectué si les éléments essentiels du cas concerné ont changé.
Article 4
Garanties
1. La Cour met en œuvre des garanties afin de prévenir les abus ou l’accès ou le transfert illicites de données à caractère personnel susceptibles de faire l’objet de limitations. Ces garanties comprennent des mesures techniques et organisationnelles et sont détaillées, le cas échéant, dans les décisions, procédures et modalités d’application de la Cour. Les garanties comprennent:
|
a) |
une définition adéquate des rôles, des responsabilités et des étapes de la procédure; |
|
b) |
le cas échéant, un environnement électronique sécurisé qui empêche l’accès ou le transfert illicites ou accidentels de données électroniques à des personnes non autorisées; |
|
c) |
le cas échéant, la conservation et le traitement sécurisés des documents papier. |
Article 5
Informations à communiquer au DPD et examen par celui-ci
1. Le DPD est informé dans les meilleurs délais dès lors que les droits des personnes concernées sont limités conformément à la présente décision et a accès au dossier et à tout document sous-jacent aux éléments de fait et de droit.
2. Le DPD peut introduire une demande afin d’examiner l’application de la limitation. La Cour l’informe par écrit de la suite réservée à sa requête.
3. La participation du DPD à la procédure de limitation, y compris aux échanges d’informations, est consignée sous une forme appropriée.
Article 6
Informations fournies aux personnes concernées sur les limitations de leurs droits
1. La Cour publie sur son site internet des informations générales à propos des limitations, décrites à l’article 2, des droits des personnes concernées. La portée de la restriction, les raisons qui la sous-tendent ainsi que sa durée possible sont expliquées.
2. Lorsque la Cour applique les dispositions de l’article 2 de la présente décision, elle informe la personne concernée, dans les meilleurs délais et par écrit, des principales raisons qui motivent l’application de la limitation, de son droit de saisir le CEPD et de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
3. La Cour peut différer, omettre ou refuser la communication d’informations sur les motifs de la limitation visée au paragraphe 2, dès lors que cela priverait d’effet la limitation. Cette évaluation se fait au cas par cas.
Article 7
Communication aux personnes concernées d’une violation de données à caractère personnel
Lorsque la Cour limite la communication à la personne concernée d’une violation de données à caractère personnel telle qu’elle est prévue à l’article 35 du règlement, elle consigne et enregistre les motifs de cette limitation conformément à l’article 2, paragraphe 5, de la présente décision.
Article 8
Confidentialité des communications électroniques
1. La Cour peut, dans des cas exceptionnels et conformément aux dispositions de la directive 2002/58/CE (directive «vie privée et communications électroniques»), limiter le droit à la confidentialité des communications électroniques, comme le prévoit l’article 36 du règlement. Dans ce cas, la Cour précise les circonstances, les motifs, les risques pertinents et les garanties connexes dans des règles internes spécifiques.
2. Lorsque la Cour restreint le droit à la confidentialité des communications électroniques, il informe la personne concernée, dans la réponse à sa demande, des principales raisons qui motivent l’application de la limitation, de son droit de saisir le CEPD et de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
3. La Cour peut différer, omettre ou refuser la communication d’informations sur les motifs de la limitation visée aux paragraphes 1 et 2, dès lors que cela priverait d’effet la limitation. Cette évaluation se fait au cas par cas.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour de sa publication au Journal officiel de l’Union européenne.
Fait à Luxembourg, le 20 mai 2021.
Par la Cour des comptes
Klaus-Heiner LEHNE
Président
(1) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).