Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32019Q0809(01)

Décision du conseil d'administration de l'Agence européenne des médicaments du 12 juin 2019 portant règles internes relatives aux limitations de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l'Agence

JO L 209 du 9.8.2019, p. 19–25 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2019/809(2)/oj

9.8.2019   

FR

Journal officiel de l'Union européenne

L 209/19


DÉCISION DU CONSEIL D'ADMINISTRATION DE L'AGENCE EUROPÉENNE DES MÉDICAMENTS

du 12 juin 2019

portant règles internes relatives aux limitations de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l'Agence

LE CONSEIL D'ADMINISTRATION DE L'AGENCE EUROPÉENNE DES MÉDICAMENTS

vu le traité sur le fonctionnement de l'Union européenne,

vu le règlement (UE) no 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,

vu le règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) no 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) no 1074/1999 du Conseil (2),

vu le statut des fonctionnaires de l'Union européenne, et notamment l'article 2, paragraphe 3, et l'article 30 de son annexe IX, ainsi que le régime applicable aux autres agents de l'Union européenne,

vu les modalités d'exécution de l'EMA concernant la conduite des enquêtes administratives et des procédures disciplinaires du 8 juin 2012 (3),

vu les orientations du CEPD publiées le 18 décembre 2018 et la notification au CEPD aux fins de l'article 41, paragraphe 2, du règlement (UE) 2018/1725,

après consultation du comité du personnel,

considérant ce qui suit:

(1)

L'Agence européenne des médicaments (ci-après l'«EMA» ou l'«Agence») a été instituée par le règlement (CE) no 726/2004 du Parlement européen et du Conseil (4) pour assurer la coordination des ressources scientifiques existantes mises à sa disposition par les États membres en vue de l'évaluation, de la surveillance et de la pharmacovigilance des médicaments.

(2)

L'Agence mène des enquêtes administratives et des procédures disciplinaires conformément aux dispositions du statut des fonctionnaires de l'Union européenne et du régime applicable aux autres agents de l'Union européenne; elle peut également mener des activités préliminaires liées à des cas d'irrégularités potentielles signalés à l'OLAF [conformément au règlement (UE, Euratom) no 883/2013], traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) relatives aux cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes et conduire des enquêtes par l'intermédiaire du délégué à la protection des données conformément à l'article 45, paragraphe 2, du règlement (UE) 2018/1725, ainsi que des enquêtes de sécurité (informatique) traitées en interne ou avec une participation externe (par exemple CERT-UE).

(3)

L'Agence traite plusieurs catégories de données à caractère personnel, telles que les données d'identification, les données de contact et les données professionnelles. L'Agence européenne des médicaments, représentée par son directeur exécutif, est responsable de ces opérations de traitement en tant que responsable du traitement des données. En interne, le chef de la division «Administration et Direction générale» a été désigné pour agir par délégation en qualité de responsable du traitement des données dans le cadre des activités concernées par la présente décision (ci-après, aux fins de la présente décision, le «responsable du traitement»). Si l'enquête administrative ou la procédure disciplinaire concerne le chef de la division «Administration et Direction générale», le directeur exécutif adjoint exerce la fonction de responsable du traitement pour l'enquête ou la procédure en question. Les données à caractère personnel sont conservées dans un dossier électronique et sur support papier. Le dossier papier est conservé dans une armoire fermée à clé qui n'est accessible qu'aux membres du personnel autorisés par la direction. Les fichiers électroniques sont stockés dans un environnement électronique sécurisé, qui est conçu et maintenu de façon à empêcher toute destruction, perte, altération, cession ou divulgation non autorisée, accidentelle ou illégale, des données à caractère personnel, ou tout accès à celles-ci, à des partenaires internes ou externes qui ne sont pas autorisés à avoir accès à de telles données.

(4)

Les données à caractère personnel traitées sont conservées conformément à l'article 13 des modalités d'exécution de l'EMA concernant la conduite des enquêtes administratives et des procédures disciplinaires du 8 juin 2012, comme cela est expliqué à l'article 2, paragraphe 3, de la présente décision.

(5)

La présente décision portant règles internes devrait s'appliquer à toutes les opérations de traitement effectuées par l'Agence dans la conduite de ses enquêtes administratives et procédures disciplinaires, ainsi que dans la réalisation d'activités préliminaires liées à des cas d'irrégularités potentielles signalés à l'OLAF, le traitement de cas de dénonciation des dysfonctionnements, le traitement de procédures (formelles et informelles) relatives aux cas de harcèlement, le traitement de plaintes internes et externes, la réalisation d'audits internes et la conduite d'enquêtes par le délégué à la protection des données conformément à l'article 45, paragraphe 2, du règlement (UE) 2018/1725, ainsi que d'enquêtes de sécurité (informatique) traitées en interne ou avec une participation externe (par exemple CERT-UE). Cette décision devrait s'appliquer aux opérations de traitement effectuées avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des mesures prises à l'issue de ces procédures.

(6)

La présente décision portant règles internes devrait également s'appliquer aux activités liées à l'assistance et à la coopération fournies par l'Agence, en dehors de ses enquêtes administratives, à d'autres institutions, organes et organismes de l'Union, aux autorités compétentes des États membres et aux organisations internationales pour la protection de leurs opérations de traitement, ainsi qu'aux activités liées à la coopération avec les institutions et organes de l'UE et à la transmission à ceux-ci d'informations concernant une enquête administrative ou une procédure disciplinaire. À cet effet, l'Agence devrait consulter ces institutions, organes, organismes, autorités ou organisations sur les motifs pertinents justifiant l'application de limitations ainsi que sur la nécessité et la proportionnalité de ces limitations.

(7)

L'Agence doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent l'essence des libertés et droits fondamentaux.

(8)

Dans ce cadre, l'Agence est tenue de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, en particulier, mais non exclusivement, ceux relatifs au droit d'accès, au droit de rectification et au droit à l'effacement consacrés par le règlement (UE) 2018/1725.

(9)

Toutefois, l'Agence peut être obligée de différer la communication d'informations à la personne concernée et de limiter d'autres droits de la personne concernée afin de protéger, en particulier, ses propres enquêtes et procédures, les enquêtes et les procédures d'autres autorités publiques, ainsi que les droits d'autres personnes liées à ses enquêtes et procédures.

(10)

L'Agence peut donc différer la communication d'informations aux fins de la protection de ses enquêtes administratives et procédures disciplinaires, des enquêtes et des procédures d'autres autorités publiques, ainsi que de la protection de l'identité des informateurs et des autres personnes impliquées dans les procédures, y compris les lanceurs d'alerte et les témoins, qui ne devraient pas subir de répercussions négatives du fait de leur coopération. En particulier, l'article 5, paragraphe 3, des modalités d'exécution de l'EMA concernant la conduite des enquêtes administratives et des procédures disciplinaires du 8 juin 2012 prévoit l'obligation de communiquer des informations à tout membre du personnel susceptible d'être personnellement impliqué dans une enquête, à condition qu'une telle communication ne nuise pas à l'enquête. Cela constitue une limitation à l'application des droits des personnes concernées, en particulier ceux visés aux articles 14 à 21, 35 et 36 du règlement (UE) 2018/1725. Par conséquent, conformément à l'article 25 dudit règlement, des règles internes doivent être définies pour garantir qu'une telle limitation respecte l'essence des libertés et droits fondamentaux et constitue une mesure nécessaire et proportionnée dans une société démocratique.

(11)

Conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725, le responsable du traitement peut différer ou omettre de communiquer à la personne concernée des informations sur les motifs justifiant l'application d'une limitation, si la communication risque de compromettre d'une quelconque manière la finalité de la limitation. Afin de garantir que le droit de la personne concernée à être informée conformément aux articles 16 et 35 du règlement (UE) 2018/1725 est limité uniquement tant que les raisons du report persistent, l'Agence devrait régulièrement réexaminer sa position.

(12)

Dès lors qu'une limitation d'autres droits des personnes concernées est appliquée, le responsable du traitement devrait évaluer, au cas par cas, si la communication de la limitation est susceptible d'en compromettre la finalité.

(13)

Conformément au principe de proportionnalité, l'Agence devrait vérifier régulièrement (environ tous les six mois) que les conditions justifiant une limitation donnée sont toujours réunies. En conséquence, l'Agence devrait lever la limitation lorsque les conditions la justifiant ne sont plus réunies.

(14)

L'Agence devrait consulter le délégué à la protection des données (ci-après le «DPD») au moment du report de la communication des informations ou de l'application d'une autre limitation des droits des personnes concernées, ainsi qu'à l'occasion de l'évaluation des conditions permettant de savoir si la limitation est toujours justifiée,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

Objet et champ d'application

1.   La présente décision définit les règles relatives aux conditions dans lesquelles l'Agence, dans le cadre des enquêtes administratives et des procédures disciplinaires, lors de la notification des cas à l'OLAF conformément au règlement (UE, Euratom) no 883/2013, peut limiter, en vertu de l'article 25 du règlement (UE) 2018/1725, l'application des droits consacrés aux articles 14 à 21, 35 et 36, ainsi qu'à l'article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 21.

2.   La présente décision s'applique à toutes les opérations de traitement de données à caractère personnel effectuées par l'Agence aux fins de la conduite des enquêtes administratives et des procédures disciplinaires, ainsi que de la réalisation des activités préliminaires liées à des cas d'irrégularités potentielles signalés à l'OLAF [suivant le règlement (UE, Euratom) no 883/2013], du traitement de cas de dénonciation des dysfonctionnements, du traitement de procédures (formelles et informelles) relatives aux cas de harcèlement, du traitement de plaintes internes et externes, de la réalisation d'audits internes et de la conduite d'enquêtes par le délégué à la protection des données conformément à l'article 45, paragraphe 2, du règlement (UE) 2018/1725, ainsi que d'enquêtes de sécurité (informatique) traitées en interne ou avec une participation externe (par exemple CERT-UE).

La présente décision devrait également s'appliquer aux activités d'assistance et de coopération réalisées par l'Agence en dehors de ses enquêtes administratives au profit d'autres institutions, organes et organismes de l'Union, aux autorités compétentes des États membres ainsi qu'aux organisations internationales pour la protection de leurs opérations de traitement.

En outre, la présente décision s'applique aux activités liées à la coopération avec les institutions et organes de l'UE, ainsi qu'à la transmission à ceux-ci d'informations concernant une enquête administrative ou une procédure disciplinaire, lorsque ces informations sont nécessaires pour que le destinataire puisse évaluer les motifs de l'ouverture d'une enquête ou d'une procédure formelle.

3.   L'Agence traite plusieurs catégories de données à caractère personnel, telles que les données d'identification, les données de contact et les données professionnelles. Les catégories de données concernées peuvent être des données objectives (par exemple informations administratives, numéro de téléphone, adresse privée, communications électroniques et données relatives au trafic) et/ou des données subjectives [par exemple rapports d'évaluation, ouverture d'enquêtes, rapports sur les enquêtes préliminaires, rapports/comptes rendus des déclarations de témoins et auditions d'enquête, activités sociales et comportement des membres du personnel, commentaires sur les aptitudes et l'efficacité du (des) membre(s) du personnel concerné(s), etc.].

4.   Les catégories de personnes concernées qui peuvent relever de la présente décision sont les membres du personnel et les anciens membres du personnel de l'Agence, c'est-à-dire les (anciens) agents, cadres/administrateurs, experts nationaux détachés et stagiaires, ainsi que les (anciens) contractants de l'Agence.

5.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s'appliquer aux droits suivants: fourniture d'informations et communication d'une violation des données à caractère personnel aux personnes concernées conformément aux articles 16 et 35 du règlement (UE) 2018/1725; droit d'accès de la personne concernée conformément à l'article 17 du règlement (UE) 2018/1725; droit de rectification, droit à l'effacement, limitation du traitement et notification de toute rectification ou de tout effacement conformément aux articles 18, 19, paragraphe 1, 20 et 21 du règlement (UE) 2018/1725.

Article 2

Spécification des responsables du traitement et garanties

1.   L'Agence européenne des médicaments, représentée par son directeur exécutif, est responsable de ces opérations de traitement en tant que responsable du traitement des données. En interne, le chef de la division «Administration et Direction générale» a été désigné pour agir par délégation en qualité de responsable du traitement des données dans le cadre des activités concernées par la présente décision. Si l'enquête administrative ou la procédure disciplinaire concerne le chef de la division «Administration et Direction générale», le directeur exécutif adjoint exerce la fonction de responsable du traitement pour l'enquête ou la procédure en question.

2.   Les données à caractère personnel sont conservées dans un fichier électronique et/ou sur support papier. Les garanties mises en place pour éviter les violations de données à caractère personnel, les fuites ou la divulgation non autorisée de données sont les suivantes:

a)

Le dossier papier est conservé dans une armoire fermée à clé qui n'est accessible qu'aux membres autorisés du personnel en fonction du besoin d'en connaître. Le système de sécurité des locaux, les politiques internes de gestion des dossiers, la formation du personnel et les audits permettent également de s'assurer que des garanties adéquates sont instaurées.

b)

Les fichiers électroniques sont stockés dans un environnement électronique sécurisé, qui est conçu et maintenu de façon à empêcher toute destruction, perte, altération, cession ou divulgation non autorisée, accidentelle ou illégale, de données à caractère personnel, ou tout accès à celles-ci, à des partenaires internes ou externes qui ne sont pas autorisés à avoir accès à de telles données.

c)

Les règles strictes de confidentialité et de secret professionnel applicables aux enquêteurs désignés et/ou à toute personne qui est par ailleurs impliquée dans l'enquête administrative ou la procédure disciplinaire, définies dans les modalités d'exécution de l'EMA concernant la conduite des enquêtes administratives et des procédures disciplinaires du 8 juin 2012, ainsi que dans le statut des fonctionnaires et le RAA, garantissent un niveau élevé de protection contre les risques pour les droits et libertés des personnes concernées par le traitement.

d)

Conformément au principe de minimisation des données, l'Agence ne collecte et ne traite que des données à caractère personnel qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Des garanties supplémentaires s'appliquent lorsque des catégories particulières de données sont traitées, et lorsque des données à caractère personnel relatives à des condamnations ou à des infractions pénales, ou à des mesures de sécurité connexes, sont traitées.

3.   Les durées de conservation applicables sont les suivantes:

a)

En vertu de l'article 13 des modalités d'exécution de l'EMA concernant la conduite des enquêtes administratives et des procédures disciplinaires du 8 juin 2012, lorsqu'aucune accusation n'est formulée à l'encontre du membre du personnel, ou lorsqu'une accusation est formulée mais qu'aucune sanction disciplinaire n'est adoptée, le dossier sur support papier et électronique de la procédure d'enquête administrative, ainsi que la copie versée au dossier personnel de la notification initiale au membre du personnel conformément à l'article 5 desdites modalités d'exécution, sont conservés pendant 5 ans après la date de la décision constatant qu'aucune accusation ou sanction disciplinaire n'est nécessaire. Cette disposition n'est pas applicable à la décision versée au dossier personnel du membre du personnel à la demande de celui-ci, conformément à l'article 1, paragraphe 3, de l'annexe IX du statut des fonctionnaires et à l'article 5, paragraphe 5, des modalités d'exécution de l'EMA concernant la conduite des enquêtes administratives et des procédures disciplinaires du 8 juin 2012. Cette décision n'est retirée du dossier personnel qu'à la demande du membre du personnel concerné.

b)

Lorsqu'une accusation est formulée à l'encontre du membre du personnel, les dossiers sur support papier et électronique, ainsi que la copie versée au dossier personnel de la notification initiale au membre du personnel, sont conservés pendant 10 ans après la date de la décision de sanction disciplinaire. Dans des cas exceptionnels, lorsqu'il est dans l'intérêt de l'Agence de conserver le dossier d'enquête administrative après l'expiration du délai de 10 ans, une décision motivée est rendue six mois avant l'expiration de ce délai et est communiquée au membre du personnel concerné. La décision motivée indique le délai supplémentaire pendant lequel le dossier d'enquête administrative sera conservé. Dans ce cas, la notification versée au dossier personnel du membre du personnel est également conservée.

4.   Le risque pour les droits et libertés de la personne concernée peut entraîner des risques pour le droit au respect de la confidentialité des communications privées du membre du personnel, le droit à la liberté d'expression et d'information, le droit à la défense et le droit d'être entendu. Ces risques seront mis en balance avec les motifs et les finalités justifiant l'application des limitations prévues par la présente décision. Cette mise en balance doit être dûment documentée et être effectuée sur la base d'une analyse au cas par cas, afin de s'assurer qu'une limitation n'est appliquée que si elle est nécessaire et proportionnée et qu'elle respecte les règles établies dans la présente décision.

Article 3

Limitations

1.   En vertu de l'article 25, paragraphe 1, du règlement (UE) 2018/1725, une limitation n'est appliquée que pour garantir:

a)

la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

b)

d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, en particulier un intérêt important de l'Union ou d'un État membre, y compris dans les domaines de la santé publique et de la sécurité sociale;

c)

la sécurité interne des institutions et organes de l'Union, notamment de leurs réseaux de communications électroniques;

d)

la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e)

une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) à c);

f)

la protection de la personne concernée ou des droits et libertés d'autrui.

2.   Aux fins spécifiques de l'application des finalités énoncées au paragraphe 1 ci-dessus, l'Agence peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d'autres institutions, organes et organismes de l'Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:

a)

lorsque l'exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d'autres institutions, organes et organismes de l'Union sur la base d'autres actes prévus à l'article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d'autres institutions, organes et organismes de l'Union;

b)

lorsque l'exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l'article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (5) ou en vertu de mesures nationales transposant l'article 13, paragraphe 3, l'article 15, paragraphe 3, ou l'article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (6);

c)

lorsque l'exercice de ces droits et obligations pourrait compromettre la coopération de l'Agence avec les pays tiers ou les organisations internationales dans l'accomplissement de ses missions.

Avant d'appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l'Agence consulte les services compétents de la Commission, les institutions, organes et organismes de l'Union ou les autorités compétentes des États membres à moins qu'il ne soit clair pour l'Agence que l'application d'une limitation est prévue par l'un des actes visés à ces points.

3.   Toute limitation doit être nécessaire et proportionnée dans une société démocratique et respecter l'essence des libertés et droits fondamentaux.

4.   Une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d'évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.

5.   Les limitations sont dûment suivies et un examen périodique est effectué tous les six mois, au plus tard, afin de vérifier si les conditions justifiant une limitation donnée sont toujours réunies.

6.   Les limitations sont levées dès que les conditions qui les justifient ne sont plus réunies, par exemple lorsque l'exercice des droits des personnes concernées (par exemple, la fourniture d'informations sur le traitement des données et l'accès au dossier) ne compromettrait plus la finalité de l'enquête ou de la procédure concernée.

Article 4

Information du délégué à la protection des données et réexamen

1.   Le responsable du traitement (au nom de l'Agence) informe sans délai indu le DPD de l'Agence lorsqu'il limite l'application des droits des personnes concernées conformément à la présente décision, et il donne accès aux relevés et à la documentation de l'évaluation de la nécessité et de la proportionnalité de la limitation (y compris tous documents contenant des éléments factuels et juridiques sous-jacents). Cette exigence s'applique également à tout réexamen ultérieur de la limitation.

2.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l'application des limitations. L'Agence informe le DPD par écrit du résultat du réexamen demandé.

3.   Les échanges d'informations avec le DPD sont consignés et documentés par écrit pendant toute la durée de la procédure.

Article 5

Limitation de la communication d'informations aux personnes concernées

1.   L'Agence inclut dans la déclaration de confidentialité relative aux enquêtes administratives et aux procédures disciplinaires, publiée sur son intranet, les informations relatives à l'éventuelle limitation de ces droits. Ces informations portent sur les droits susceptibles d'être limités, les motifs de cette limitation ainsi que sa durée potentielle.

2.   En outre, l'Agence informe les personnes concernées individuellement, sans délai indu et par écrit, de leurs droits en ce qui concerne les limitations présentes ou à venir, sans préjudice des paragraphes suivants.

3.   Lorsque l'Agence limite, en tout ou en partie, la communication d'informations aux personnes concernées conformément à la présente décision, elle consigne dans un relevé les motifs de la limitation, assortis d'une évaluation de sa nécessité et de sa proportionnalité. À cette fin, le relevé précise la manière dont la communication des informations compromettrait la finalité de l'enquête ou de la procédure concernée, ou dont elle porterait atteinte aux droits et libertés d'autrui. Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.

4.   La limitation visée au paragraphe 3 continue de s'appliquer tant que les raisons la justifiant persistent. Lorsque les raisons justifiant cette limitation ne sont plus réunies, l'Agence communique à la personne concernée les informations en question et les motifs de la limitation. Les personnes concernées peuvent adresser toute question au DPD.

5.   Dans le même temps, l'Agence informe la personne concernée de la possibilité de saisir le Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.

6.   L'Agence examine l'application de la limitation tous les six mois à compter de son adoption et à la fin de la procédure.

Article 6

Limitation du droit d'accès des personnes concernées

1.   Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d'un ou de plusieurs cas spécifiques ou d'une opération de traitement particulière, conformément à l'article 17 du règlement (UE) 2018/1725, l'Agence limite son examen de la demande à ces seules données à caractère personnel.

2.   Lorsque l'Agence limite, en tout ou en partie, le droit d'accès visé à l'article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:

a)

elle informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, dans la mesure où celle-ci ne compromettrait pas la finalité de l'enquête ou de la procédure concernée, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne;

b)

elle consigne dans un relevé les motifs de la limitation, assortis d'une évaluation de sa nécessité et de sa proportionnalité; à cette fin, le relevé précise la manière dont l'accès aux informations compromettrait la finalité de l'enquête ou de la procédure concernée, ou dont il porterait atteinte aux droits et libertés d'autrui.

La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725.

3.   Le relevé mentionné au paragraphe 2, point b), et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande. L'article 25, paragraphe 7, du règlement (UE) 2018/1725 s'applique.

Article 7

Limitation du droit de rectification, du droit à l'effacement et du droit à la limitation du traitement

Dans le cas où l'Agence limite, en tout ou en partie, l'application du droit de rectification, du droit à l'effacement ou du droit à la limitation du traitement visés aux articles 18, 19, paragraphe 1, 20, paragraphe 1, et 21 du règlement (UE) 2018/1725, elle prend les mesures visées à l'article 6, paragraphe 2, de la présente décision, et enregistre le relevé conformément à l'article 6, paragraphe 3, de ladite décision.

Article 8

Limitation de la communication d'une violation de données à caractère personnel aux personnes concernées et du droit à la confidentialité des communications électroniques

1.   Dans le cas où l'Agence limite la communication à la personne concernée d'une violation de données à caractère personnel, visée à l'article 35 du règlement (UE) 2018/1725, elle consigne et enregistre les raisons de cette limitation conformément à l'article 5, paragraphes 3 à 6, de la présente décision.

2.   Dans le cas où l'Agence limite le droit à la confidentialité des communications électroniques d'une personne concernée, visé à l'article 36 du règlement (UE) 2018/1725, elle consigne et enregistre les raisons de cette limitation conformément à l'article 5, paragraphes 3 à 6, de la présente décision.

Article 9

Entrée en vigueur

La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Fait à Amsterdam, le 12 juin 2019.

Christa WIRTHUMER-HOCHE

Présidente du conseil d'administration de l'EMA


(1)  JO L 295 du 21.11.2018, p. 39.

(2)  JO L 248 du 18.9.2013, p. 1.

(3)  Doc. réf. 7.20/08.

(4)  Règlement (CE) no 726/2004 du Parlement européen et du Conseil du 31 mars 2004 établissant des procédures de l'Union pour l'autorisation et la surveillance en ce qui concerne les médicaments à usage humain et à usage vétérinaire, et instituant une Agence européenne des médicaments (JO L 136 du 30.4.2004, p. 1).

(5)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(6)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).


Top