Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0721(01)

Avis du contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif aux règles financières applicables au budget annuel de l’Union

OJ C 215, 21.7.2011, p. 13–18 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

21.7.2011   

FR

Journal officiel de l'Union européenne

C 215/13


Avis du contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif aux règles financières applicables au budget annuel de l’Union

2011/C 215/05

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu la demande d’avis formulée conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), envoyée le 5 janvier 2011 par la Commission,

A ADOPTÉ L’AVIS SUIVANT:

I.   INTRODUCTION

1.

Le 22 décembre 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil relatif aux règles financières applicables au budget annuel de l'Union («la proposition»). Elle fusionne et remplace deux propositions précédentes de la Commission sur la révision du règlement financier [«le RF», règlement (CE, Euratom) no 1605/2002 du Conseil (3)]. Ces deux propositions concernaient d’une part la révision triennale du RF et d’autre part la révision du RF en vue de le mettre en conformité avec le traité de Lisbonne (4).

2.

Le 5 janvier 2011, la proposition a été envoyée au CEPD conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD a été consulté de manière informelle avant l’adoption de la proposition. Le CEPD recommande au législateur d’inclure une référence à la consultation du CEPD au début de la proposition de règlement.

3.

La proposition comporte certaines implications en matière de protection des données, au niveau de l’UE mais également au niveau national, qui seront examinées dans le présent avis.

4.

La proposition fait référence aux instruments pertinents relatifs à la protection des données. Cependant, comme il sera expliqué dans le présent avis, des précisions et des clarifications supplémentaires sont nécessaires afin de garantir la totale conformité avec le cadre juridique de protection des données.

II.   ANALYSE DE LA PROPOSITION

II.1.   Références générales aux règles pertinentes de l’UE en matière de protection des données

5.

La proposition de règlement couvre plusieurs aspects qui entraînent le traitement de données à caractère personnel par les institutions, les agences et les organes de l’UE, ainsi que par des entités au niveau des États membres. Ces activités de traitement seront analysées plus en détail ci-dessous. Lorsqu’ils traitent des données à caractère personnel, les institutions, les agences et les organes de l’UE sont liés par les règles relatives à la protection des données qui sont énoncées dans le règlement (CE) no 45/2001. Les entités actives au niveau national sont liées par les dispositions nationales dans l’État membre en question transposant la directive 95/46/CE.

6.

Le CEPD se félicite de trouver des références à l’un de ces deux instruments ou aux deux dans la proposition de règlement (5). Cependant, la proposition ne fait pas référence aux instruments de manière systématique et cohérente. Le CEPD encourage donc le législateur à adopter une approche plus exhaustive sur ce point dans le règlement.

7.

Le CEPD recommande au législateur d’inclure la référence suivante à la directive 95/46/CE ainsi qu’au règlement (CE) no 45/2001 dans le préambule du règlement:

«Le présent règlement ne porte en rien atteinte aux dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et aux dispositions du règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données».

8.

En outre, le CEPD recommande d’inclure une référence à la directive 95/46/CE et au règlement (CE) no 45/2001 à l’article 57, paragraphe 2, point f), comme cela a été fait à l’article 31, paragraphe 3, de la proposition.

II.2.   Prévention, détection et correction de la fraude et des irrégularités

9.

L’article 28 de la proposition concerne le contrôle interne de l’exécution budgétaire. Il est prévu au paragraphe 2, point d), qu’aux fins de l’exécution du budget, le contrôle interne est conçu pour fournir une assurance raisonnable quant à la réalisation des objectifs de prévention, de détection et de correction de la fraude et des irrégularités.

10.

En cas d’exécution indirecte du budget par la Commission au moyen d’une gestion partagée avec les États membres ou avec des personnes et des entités autres que les États membres, il est stipulé à l’article 56, paragraphe 2, et à l’article 57, paragraphe 3, respectivement que les États membres et les entités et personnes préviennent, détectent et corrigent les irrégularités et la fraude lorsqu’ils accomplissent des tâches liées à l’exécution du budget. Ces mesures doivent à l’évidence se conformer totalement aux dispositions nationales qui transposent la directive 95/46/CE.

11.

Dans cette mesure, il est indiqué au paragraphe 4, point f), de l’article 56 [qui devrait être le paragraphe 4, point e), si l’on suit l’ordre logique des points] que les organismes agréés par les États membres qui sont seuls responsables de la bonne gestion et du contrôle adéquat des fonds «garantissent une protection des données à caractère personnel qui réponde aux principes énoncés dans la directive 95/46/CE». Le CEPD recommande de renforcer cette référence en la modifiant comme suit: «veillent à ce que tout traitement de données à caractère personnel soit conforme aux dispositions nationales transposant la directive 95/46/CE».

12.

Quant aux entités et personnes autres que les États membres, l’article 57, paragraphe 2, point f), dispose que ces entités et personnes «garantissent une protection raisonnable des données à caractère personnel». Le CEPD critique vivement cette phrase étant donné qu’elle semble offrir la possibilité d’une application moins stricte des règles en matière de protection des données. Le CEPD recommande dès lors de remplacer cette phrase par «veillent à ce que tout traitement de données à caractère personnel soit conforme aux dispositions nationales transposant la directive 95/46/CE».

II.3.   Dénonciateurs

13.

L’article 63, paragraphe 8, de la proposition traite du phénomène de la «dénonciation». Il impose à l’agent d’informer l’ordonnateur (ou l’instance spécialisée en matière d’irrégularités financières créée en vertu de l’article 70, paragraphe 6, de la proposition) lorsqu’il estime qu’une décision que son supérieur lui impose d’appliquer est irrégulière ou contraire aux principes de bonne gestion financière ou aux règles professionnelles qu’il est tenu de respecter. Dans le cas d’une activité illégale, de fraude ou de corruption susceptible de nuire aux intérêts de l’Union, il informe les autorités et les instances désignées par la législation en vigueur.

14.

Le CEPD souhaite attirer l’attention sur le fait que les dénonciateurs se trouvent dans une position délicate. Les personnes qui reçoivent ces informations devraient s’assurer que l’identité d’un dénonciateur n’est pas divulguée, notamment à la personne accusée d’avoir commis un acte répréhensible (6). Le fait de garantir la confidentialité de l’identité d’un dénonciateur non seulement protège la personne qui fournit l’information mais aussi garantit le mécanisme de dénonciation en soi. En l’absence de garanties suffisantes concernant la confidentialité, les agents seront moins enclins à signaler des activités irrégulières ou illégales.

15.

La protection de la confidentialité de l’identité du dénonciateur n’est cependant pas absolue. Après la première enquête interne, des mesures procédurales ou judiciaires peuvent nécessiter de divulguer l’identité du dénonciateur, par exemple aux autorités judiciaires. Les règles nationales régissant les procédures judiciaires devraient ainsi être respectées (7).

16.

Dans certaines situations, la personne accusée d’avoir commis un acte répréhensible peut être autorisée à obtenir le nom du dénonciateur. Cette divulgation est possible si la personne a besoin de l’identité du dénonciateur pour engager une procédure judiciaire contre ce dernier s’il est établi qu’il a fait de fausses déclarations à des fins malveillantes. (8)

17.

Le CEPD recommande de modifier la proposition actuelle et de garantir que l’identité des dénonciateurs reste confidentielle durant les enquêtes dès lors que cela n’est pas contraire aux règles nationales régissant les procédures judiciaires et que la personne accusée d’avoir commis un acte répréhensible n’est pas autorisée à connaître l’identité du dénonciateur si celle-ci est nécessaire pour engager une procédure judiciaire contre le dénonciateur s’il est établi que celui-ci a fait de fausses déclarations à des fins malveillantes.

II.4.   Publication d’informations sur les destinataires de fonds en provenance du budget

18.

Selon le paragraphe 2 de l’article 31 (Publication des bénéficiaires des fonds de l’Union et d’autres informations), la Commission communique, de manière appropriée, les informations qu’elle détient sur les bénéficiaires de fonds en provenance du budget lorsque le budget est exécuté de manière directe ou dans les délégations de l’UE.

19.

Il est précisé au paragraphe 3 de l’article 31 que ces informations «sont communiquées dans le respect des exigences de confidentialité, en particulier de protection des données à caractère personnel énoncées dans la directive 95/46/CE du Parlement européen et du Conseil et dans le règlement (CE) no 45/2001 du Parlement européen et du Conseil, et des exigences de sécurité, en tenant compte des particularités de chaque mode de gestion […] et, le cas échéant, conformément à la réglementation sectorielle pertinente».

20.

La publication de l’identité des bénéficiaires des fonds de l’UE a été examinée par la Cour de justice de l’Union européenne («la CJE») dans l’arrêt rendu dans l’affaire Schecke et Eifert en novembre 2010 (9). Sans entrer dans les détails de cette affaire, il convient de souligner que la CJE a attentivement examiné si la législation de l’UE, qui contenait l’obligation de divulguer l’information, était conforme aux articles 7 et 8 de la Charte des droits fondamentaux de l’UE («la Charte de l’UE»).

21.

La CJE a examiné la finalité pour laquelle l’information a été divulguée puis la proportionnalité de la mesure. La CJE a estimé que les institutions sont tenues de mettre en balance, avant de divulguer des informations concernant une personne physique, l’intérêt de l’Union dans la divulgation et l’atteinte aux droits reconnus par la Charte de l’Union européenne (10). La CJE a souligné que des dérogations et des limitations concernant la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire (11).

22.

La CJE a estimé que les institutions devraient étudier différentes méthodes de publication afin de trouver celle qui serait conforme à l’objectif de la publication tout en étant moins attentatoire au droit des bénéficiaires au respect de leur vie privée, en général, et à la protection de leurs données à caractère personnel en particulier (12). Dans le contexte particulier de l’affaire, la CJE a fait référence à la limitation de la publication de données nominatives relatives auxdits bénéficiaires en fonction des périodes pendant lesquelles ils ont perçu des aides, de la fréquence ou encore du type et de l’importance de celles-ci (13).

23.

Le CEPD souligne une fois de plus que le rôle de la protection de la vie privée et des données n’est pas d’empêcher l’accès du public aux informations lorsque des données à caractère personnel sont concernées et de limiter excessivement la transparence de l’administration de l’Union. Le CEPD adopte le point de vue selon lequel le principe de transparence «permet d’assurer une meilleure participation des citoyens au processus décisionnel ainsi que de garantir une plus grande légitimité, efficacité et responsabilité de l’administration à l’égard des citoyens dans un système démocratique»; la publication au moyen d’Internet des données nominatives relatives aux bénéficiaires des fonds, de manière appropriée, «contribue à l’utilisation appropriée des fonds publics par l’administration» et «renforce le contrôle public sur l’utilisation des sommes concernées» (14).

24.

Dans cet esprit, le CEPD souhaite souligner que les considérations de la CJE telles que mentionnées dans les paragraphes précédents s’appliquent directement à la proposition actuelle. Bien que la directive 95/46/CE et le règlement (CE) no 45/2001 soient mentionnés, il n’est pas garanti que la publication envisagée satisfasse aux exigences, comme l’explique la CJE dans l’affaire Schecke. Il convient de souligner à cet égard que la CJE a non seulement annulé le règlement de la Commission qui contenait les règles détaillées concernant la publication d’informations sur les bénéficiaires des fonds agricoles (15), mais également la disposition dans le règlement qui constitue la base juridique du règlement de la Commission et qui contenait l’exigence générale de divulgation de l’information, dans la mesure où elle concernait les bénéficiaires qui étaient des personnes physiques (16).

25.

Le CEPD doute fort que la proposition actuelle satisfasse aux critères tels qu’expliqués par la CJE dans l’affaire Schecke. Ni l’article 31 ni les autres articles qui le précèdent ou le suivent ne contiennent de finalité claire et définie pour laquelle la publication des données à caractère personnel est envisagée. En outre, on ne sait pas à quel moment et sous quelle forme les informations seront divulguées. Il est donc impossible d’apprécier si le juste équilibre est observé entre les divers intérêts en jeu et de vérifier, comme le souligne explicitement la CJE dans l’arrêt Schecke, si la publication serait proportionnée. Par ailleurs, il n’est pas clairement établi comment les droits des personnes concernées seront garantis.

26.

Même si une législation d’application est envisagée — ce qui n’est pas clairement indiqué —, les clarifications de base qui viennent d’être mentionnées devraient être contenues dans la base juridique que le RF est supposé constituer pour la divulgation de ces données.

27.

Le CEPD recommande dès lors au législateur de clarifier la finalité et d’expliquer la nécessité de la divulgation envisagée, d’indiquer comment et dans quelle mesure les données à caractère personnel seront divulguées, de s’assurer que les données soient divulguées uniquement si cette divulgation est proportionnée et de veiller à ce que les personnes concernées soient en mesure de faire valoir leurs droits inscrits dans la législation de l’UE relative à la protection des données.

II.5.   Publication de décisions ou de résumés de décisions sur les sanctions administratives et financières

28.

L’article 103 de la proposition concerne la possibilité pour le pouvoir adjudicateur d’infliger des sanctions administratives ou financières: a) aux contractants, candidats ou soumissionnaires qui se sont rendus coupables de fausses déclarations en fournissant les renseignements exigés par le pouvoir adjudicateur pour leur participation au marché ou n’ont pas fourni ces renseignements [voir l’article 101, point b)]; ou b) aux contractants qui ont été déclarés en défaut grave d’exécution de leurs obligations en vertu de marchés financés par le budget.

29.

L’article 103, paragraphe 1, dispose que la personne concernée doit être mise en mesure de présenter ses observations. Selon l’article 103, paragraphe 2, les sanctions peuvent consister en l’exclusion de la personne concernée des marchés et des subventions financés par le budget, pour une période maximale de dix ans, et/ou le paiement de sanctions financières dans la limite de la valeur du marché concerné.

30.

En comparaison avec la situation actuelle, la proposition contient un nouvel élément qui est la possibilité pour l’institution mentionnée à l’article 103, paragraphe 3, de publier des décisions ou le résumé de décisions mentionnant le nom de l’opérateur économique, une brève description des faits, la durée de l’exclusion ou le montant des sanctions financières.

31.

Dès lors qu’elle comporte la divulgation d’informations concernant des personnes physiques, cette disposition soulève certaines questions du point de vue de la protection des données. Premièrement, l’utilisation du verbe «peut» indique clairement que la publication n’est pas obligatoire. Mais un certain nombre de questions subsistent là où le texte de la proposition n’est pas suffisamment clair. Par exemple, quelle est la finalité d’une telle divulgation? Quels sont les critères selon lesquels l’institution concernée décide de divulguer ou non des informations? Pendant combien de temps les informations resteront-elles publiquement disponibles et par quel moyen? Qui vérifiera si l’information est toujours exacte et la maintiendra à jour? Qui informera la personne concernée de la divulgation? Telles sont les questions qui concernent les exigences de la qualité des données contenues à l’article 6 de la directive 95/46/CE et à l’article 4 du règlement (CE) no 45/2001.

32.

Il convient de souligner que la publication de ces informations a un impact négatif supplémentaire sur la personne concernée. La publication ne devrait être autorisée que si elle est strictement nécessaire à la finalité envisagée. Les observations formulées ci-dessus dans la partie II.4 dans le contexte de l’arrêt rendu par la CJE dans l’affaire Schecke sont également pertinentes.

33.

Sous sa forme actuelle, le texte proposé à l’article 103, paragraphe 3, ne satisfait pas totalement aux dispositions de la législation relative à la protection des données. Le CEPD recommande dès lors au législateur de clarifier la finalité et d’expliquer la nécessité de la divulgation envisagée, d’indiquer comment et dans quelle mesure les données à caractère personnel seront divulguées, de s’assurer que les données soient divulguées uniquement si cette divulgation est proportionnée et de veiller à ce que les personnes concernées soient en mesure de faire valoir leurs droits inscrits dans la législation de l’UE relative à la protection des données.

II.6.   La base de données centrale sur les exclusions

34.

La proposition comprend également la création d’une base de données centrale sur les exclusions («la BDCE») qui contiendra des informations détaillées concernant les candidats et les soumissionnaires exclus de la participation aux procédures de passation de marchés (voir l’article 102). Cette base de données est déjà en place sur la base du RF actuel, et son fonctionnement est expliqué plus avant dans le règlement (CE) no 1302/2008 de la Commission. Les traitements de données à caractère personnel qui sont effectués dans le cadre de la BDCE ont été analysés par le CEPD dans un avis de contrôle préalable daté du 26 mai 2010 (17).

35.

Les destinataires des données fournies dans la BDCE sont multiples. En fonction des personnes qui accèdent à la base de données, les articles 7, 8 ou 9 du règlement (CE) no 45/2001 s’appliquent.

36.

Le CEPD a conclu dans l’avis sur la notification d’un contrôle préalable susmentionné que la pratique actuelle concernant l’application des articles 7 (consultation de la base de données par d’autres institutions et agences de l’UE) et 8 (consultation de la BDCE par les autorités et certains autres organes des États membres) était conforme au règlement (CE) no 45/2001.

37.

Cependant, cette conclusion n’a pas pu être tirée en ce qui concerne le transfert de données à des autorités de pays tiers qui est régi par l’article 9 du règlement (CE) no 45/2001, qui porte sur le transfert de données à des autorités de pays tiers et/ou des organisations internationales. À l’article 102, paragraphe 2, il est indiqué que des pays tiers peuvent également avoir accès à la BDCE.

38.

L’article 9, paragraphe 1, du règlement (CE) no 45/2001 dispose que «le transfert de données à caractère personnel à des destinataires autres que les institutions et organes communautaires, et qui ne sont pas soumis à la législation nationale adoptée en application de la directive 95/46/CE, ne peut avoir lieu que pour autant qu’un niveau de protection adéquat soit assuré dans le pays du destinataire ou au sein de l’organisation internationale destinataire, et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement». Par dérogation à l’article 9, paragraphe 1, l’article 9, paragraphe 6, autorise le transfert de données à des pays qui n’assurent pas un niveau de protection adéquat si «le transfert est nécessaire ou rendu juridiquement obligatoire pour des motifs d’intérêt public important (…)».

39.

Dans l’avis susmentionné sur la notification d’un contrôle préalable, le CEPD a souligné que des mesures supplémentaires étaient nécessaires pour garantir qu’en cas de transfert vers un pays tiers ou à une organisation, le destinataire offre un niveau de protection adéquat. Le CEPD souhaite insister sur le fait qu’une telle adéquation doit être basée sur une évaluation au cas par cas, et devrait comprendre une analyse détaillée des circonstances qui entourent un transfert de données ou un ensemble de transferts de données. Le RF ne peut dégager la Commission de cette obligation. Un transfert qui serait basé sur une des dérogations prévues à l’article 9 devrait également être fondé sur une évaluation au cas par cas.

40.

À cet égard, le CEPD recommande au législateur d’ajouter un paragraphe supplémentaire à l’article 102 qui porte spécifiquement sur la protection des données à caractère personnel. Le paragraphe pourrait commencer par la première phrase déjà contenue dans le premier paragraphe de l’article 102, à savoir que «une base de données centrale est créée et gérée par la Commission, dans le respect de la réglementation de l’Union relative à la protection des données à caractère personnel». Il conviendrait d’y ajouter que l’accès aux autorités de pays tiers est uniquement autorisé lorsque les conditions énoncées à l’article 9 du règlement (CE) no 45/2001 sont remplies.

III.   CONCLUSION

41.

La proposition actuelle comporte certaines implications en matière de protection des données, au niveau de l’UE mais également au niveau national, qui ont été examinées dans le présent avis. La proposition fait référence aux instruments pertinents relatifs à la protection des données. Cependant, comme expliqué dans le présent avis, des précisions et des clarifications supplémentaires sont nécessaires afin de garantir la totale conformité avec le cadre juridique de protection des données. Le CEPD formule les recommandations suivantes:

inclure dans le préambule du règlement une référence à la directive 95/46/CE et au règlement (CE) no 45/2001;

inclure une référence à la directive 95/46/CE et au règlement (CE) no 45/2001 à l’article 57, paragraphe 2, point f), comme cela a été fait à l’article 31, paragraphe 3, de la proposition;

renforcer la référence à la directive 95/46/CE à l’article 56, paragraphe 4, point f) [qui devrait être le paragraphe 4, point e) si l’on suit l’ordre logique des points] en le modifiant comme suit: «veillent à ce que tout traitement de données à caractère personnel soit conforme aux dispositions nationales transposant la directive 95/46/CE»;

remplacer la phrase à l’article 57, paragraphe 2, point f), «garantissent une protection raisonnable des données à caractère personnel» par «veillent à ce que tout traitement de données à caractère personnel soit conforme aux dispositions nationales transposant la directive 95/46/CE»;

garantir à l’article 63, paragraphe 8, que l’identité des dénonciateurs reste confidentielle durant les enquêtes dès lors que cela n’est pas contraire aux règles nationales régissant les procédures judiciaires et que la personne accusée d’avoir commis un acte répréhensible n’est pas autorisée à connaître l’identité du dénonciateur si celle-ci est nécessaire pour engager une procédure judiciaire contre le dénonciateur s’il est établi que celui-ci a fait de fausses déclarations à des fins malveillantes;

clarifier à l’article 31 la finalité et expliquer la nécessité de la divulgation envisagée d’informations sur les destinataires de fonds provenant du budget, indiquer comment et dans quelle mesure les données à caractère personnel seront divulguées, s’assurer que les données soient divulguées uniquement si cette divulgation est proportionnée et veiller à ce que les personnes concernées soient en mesure de faire valoir leurs droits inscrits dans la législation de l’UE relative à la protection des données;

améliorer l’article 103, paragraphe 3, qui porte sur les publications des décisions ou du résumé de décisions sur les sanctions administratives et financières, en clarifiant la finalité et en expliquant la nécessité de la divulgation envisagée, indiquer comment et dans quelle mesure les données à caractère personnel seront divulguées, s’assurer que les données soient divulguées uniquement si cette divulgation est proportionnée et veiller à ce que les personnes concernées soient en mesure de faire valoir leurs droits inscrits dans la législation de l’UE relative à la protection des données;

ajouter un paragraphe supplémentaire à l’article 102 portant sur la protection des données à caractère personnel disposant que l’accès aux autorités de pays tiers est autorisé uniquement lorsque les règles énoncées à l’article 9 du règlement (CE) no 45/2001 sont remplies et après une évaluation au cas par cas.

Fait à Bruxelles, le 15 avril 2011.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  JO L 248 du 16.9.2002, p. 1.

(4)  Voir respectivement COM(2010) 260 final et COM(2010) 71 final.

(5)  Voir l’article 31, paragraphe 3, et l’article 56, paragraphe 4, de la proposition. En outre, le considérant 36 fait généralement référence aux «exigences en matière de protection des données», l’article 57, paragraphe 2, point f), à la «protection des données à caractère personnel» et l’article 102, paragraphe 1, à la «réglementation de l’Union relative au traitement des données à caractère personnel».

(6)  Le CEPD a déjà souligné l’importance de préserver la confidentialité de l’identité du dénonciateur dans une lettre du 30 juillet 2010 adressée au Médiateur dans le dossier 2010-0458, disponible sur le site internet du CEPD (http://www.edps.europa.eu). Le groupe de travail «Article 29» a souligné cet aspect dans l’avis 1/2006 du 1er février 2006 relatif à l’application des règles de l’UE en matière de protection des données aux mécanismes internes de dénonciation des dysfonctionnements dans les domaines de la comptabilité, des contrôles comptables internes, de l’audit, de la lutte contre la corruption et la criminalité bancaire et financière, disponible sur le site internet du groupe de travail «Article 29» à l’adresse: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(7)  Voir également les avis de contrôle préalable du CEPD du 23 juin 2006, à propos des enquêtes internes effectuées par l’OLAF (dossier 2005-0418), et du 4 octobre 2007 à propos des enquêtes externes effectuées par l’OLAF (dossiers 2007-47, 2007-48, 2007-49, 2007-50, 2007-72) disponibles sur le site internet du CEPD (http://www.edps.europa.eu).

(8)  Voir en ce sens également l’avis 1/2006 susmentionné du groupe de travail «Article 29».

(9)  Arrêt de la CJE du 9 novembre 2010, Schecke et Eifert, affaires jointes C-92/09 et C-93/09.

(10)  CJE, Schecke, point 85.

(11)  CJE, Schecke, point 86.

(12)  CJE, Schecke, point 81.

(13)  Cf. note 12.

(14)  CJE, Schecke, points 68, 69, 75 et 76.

(15)  Règlement (CE) no 259/2008 de la Commission, JO L 76 du 19.3.2008, p. 28.

(16)  Article 44 bis du règlement (CE) no 1290/205, JO L 209 du 11.8.2005, p. 1, tel que modifié.

(17)  Voir l’avis du CEPD sur la notification d’un contrôle préalable, du 26 mai 2010, à propos du traitement de données à caractère personnel eu égard à l’«inscription d’une personne concernée dans la base de données centrale des exclusions» (dossier 2009-0681), disponible sur le site internet du CEPD (http://www.edps.europa.eu).


Top