1.   La présente décision définit des règles et des procédures pour l’application du règlement (UE) 2018/1725 par la Commission et établit des dispositions d’application relatives au délégué à la protection des données de la Commission (ci-après le «DPD»).

2.   La présente décision établit également les règles que la Commission doit suivre, en rapport avec les missions de contrôle, d’examen, d’audit ou de consultation du DPD, pour informer les personnes concernées du traitement de leurs données à caractère personnel conformément aux articles 14, 15 et 16 du règlement (UE) 2018/1725.

3.   La présente décision fixe par ailleurs les conditions dans lesquelles la Commission peut, en rapport avec les missions de contrôle, d’examen, d’audit ou de consultation du DPD, limiter l’application des articles 4, 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, conformément à l’article 25, paragraphe 1, points c), g) et h), dudit règlement.

4.   La présente décision s’applique au traitement de données à caractère personnel par la Commission aux fins des ou en rapport avec les missions du DPD visées à l’article 45 du règlement (UE) 2018/1725, en particulier les missions de contrôle, d’examen, d’audit et de consultation de ce dernier.

1.   Le DPD contribue à la création, au sein de la Commission, d’une culture de la protection des données à caractère personnel fondée sur l’évaluation des risques et l’obligation de rendre des comptes.

2.   Le DPD contrôle la mise en œuvre du règlement (UE) 2018/1725 au sein de la Commission, entre autres en établissant et en réalisant chaque année un programme d’inspection et d’audit.

3.   Le DPD organise et préside les réunions périodiques des CPD.

4.   Le DPD consigne les activités de traitement de la Commission dans un registre central et rend celui-ci public.

Le DPD tient également un registre interne à la Commission des violations de données à caractère personnel au sens de l’article 3, point 16), du règlement (UE) 2018/1725.

5.   Dans l’exercice de ses fonctions, le DPD coopère avec les délégués à la protection des données désignés par les autres institutions et organes de l’Union.

6.   Le DPD est considéré comme le responsable délégué du traitement aux fins des décisions individuelles concernant les droits des personnes concernées au titre du règlement (UE) 2018/1725 prises en rapport avec ses opérations de traitement.

1.   Le responsable délégué du traitement nomme un CPD et, s’il y a lieu, un ou plusieurs CPD adjoints au sein de la direction générale ou du service dont il a la responsabilité. Plusieurs responsables délégués du traitement peuvent, pour des raisons de cohérence ou d’efficience, décider de nommer un CPD ou un CPD adjoint commun ou de se partager les services d’un CPD ou d’un CPD adjoint déjà nommé. Les responsables délégués du traitement concernés consignent cette décision par écrit.

2.   Le CPD nommé par une direction générale ou un service est également compétent pour le cabinet responsable de cette direction générale ou de ce service. Le CPD nommé pour le secrétariat général est compétent pour le cabinet du président ainsi que pour les cabinets dont le secrétariat général est le seul service d’appui. Lorsqu’un cabinet est responsable de plusieurs directions générales ou de plusieurs services, les responsables délégués du traitement décident lesquels, parmi leurs CPD respectifs, sont compétents pour ce cabinet.

3.   Le DPD, le personnel de la direction générale ou du service concerné et le cabinet responsable sont informés de toute nouvelle nomination d’un CPD.

Les CPD nouvellement nommés suivent une formation afin d’acquérir les compétences nécessaires à l’exercice de leur fonction dans les six mois suivant leur nomination. Ceux qui ont précédemment occupé un poste de CPD dans une autre direction générale ou dans un autre service ou qui ont fait partie du personnel du DPD dans les deux années précédant leur nomination en tant que CPD sont exemptés de cette obligation de formation.

4.   Les responsables délégués du traitement prennent les dispositions nécessaires pour que le CPD soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données au sein de leur direction générale ou de leur service et pour que les avis rendus par le CPD soient, à la demande de ce dernier, rapidement portés à leur attention.

5.   Les CPD sont choisis sur la base de leur connaissance et de leur expérience du fonctionnement de la direction générale ou du service concerné, de leur motivation pour cette fonction, de leurs compétences en matière de protection des données, de leur compréhension des principes qui régissent les systèmes d’information et de leurs aptitudes à la communication.

6.   La fonction de CPD peut se combiner avec d’autres fonctions. Le responsable délégué du traitement s’assure que ces fonctions sont compatibles avec celles de CPD.

7.   La fonction de CPD fait partie de la description de poste de chaque membre du personnel nommé comme tel. Les responsabilités et les réalisations des CPD sont mentionnées dans leurs rapports d’évaluation annuels.

8.   Le CPD fait office de point de contact entre le responsable délégué du traitement, le responsable opérationnel du traitement et le sous-traitant, d’une part, et le DPD, d’autre part.

9.   Les CPD ont le droit de recueillir, au sein de leur direction générale ou de leur service, toutes les informations nécessaires à l’accomplissement de leurs missions. Ils n’ont accès aux données à caractère personnel que si cela est nécessaire à l’accomplissement de leurs missions.

10.   Le CPD tient les registres et établit des statistiques anonymisées des demandes adressées par des personnes concernées à la direction générale, au service ou au cabinet; ces statistiques précisent le nombre de demandes et le nombre de demandes rejetées en tout ou en partie. Le DPD précise les catégories de demandes pour lesquelles des statistiques sont tenues. Il peut également indiquer d’autres détails à fournir.

Le CPD tient des statistiques anonymisées des violations de données à caractère personnel gérées par la direction générale, le service ou le cabinet; ces statistiques précisent le nombre total de violations de données à caractère personnel, le nombre de violations de données à caractère personnel notifiées au CEPD et le nombre de violations de données à caractère personnel communiquées aux personnes concernées.

11.   Le CPD sensibilise le personnel de sa direction générale ou de son service aux questions relatives à la protection des données, il conseille les responsables délégués du traitement et les responsables opérationnels du traitement et les aide à s’acquitter de leurs obligations, en particulier en ce qui concerne:

12.   Les CPD participent aux réunions et, si nécessaire, aux groupes de travail des CPD.

13.   Le DPD émet des orientations supplémentaires concernant les responsabilités et les fonctions du CPD.

1.   Les responsables délégués du traitement agissent pour le compte de la Commission en tant que responsables du traitement aux fins de l’application du règlement (UE) 2018/1725.

2.   Les responsables délégués du traitement et les responsables opérationnels du traitement:

3.   Le responsable délégué du traitement:

Les accords visés au premier alinéa, point b), définissent les responsabilités respectives en ce qui concerne le respect des obligations en matière de protection des données. Plus particulièrement, ils précisent l’identité du responsable délégué du traitement qui détermine les moyens et les finalités de l’opération de traitement ainsi que celle du responsable opérationnel du traitement et indiquent, s’il y a lieu, la personne et/ou les entités qui aident le responsable opérationnel du traitement, entre autres, à recueillir des informations en cas de violations de données ou à donner suite aux droits des personnes concernées.

4.   Le responsable opérationnel du traitement:

1.   Le DPD veille à ce que le registre des opérations de traitement de la Commission soit accessible depuis son site web sur l’intranet de la Commission et depuis son site web sur Europa.

2.   Les responsables délégués du traitement notifient au DPD, par l’intermédiaire de leur CPD, leurs opérations de traitement consignées dans le registre au moyen du système de notification en ligne de la Commission accessible depuis le site web du DPD sur l’intranet de la Commission.

1.   Les demandes d’examen visées à l’article 6, point e), sont adressées au DPD par écrit. Dans les 15 jours ouvrables suivant la réception de la demande, le DPD envoie un accusé de réception à la personne qui a demandé l’examen et vérifie si la demande doit être considérée comme confidentielle et traitée comme telle, à moins que la personne concernée ne consente sans la moindre ambiguïté à ce que la demande soit traitée différemment. En cas d’abus manifeste du droit d’examen, le DPD n’est pas tenu de faire rapport au demandeur.

2.   Le DPD demande au responsable délégué du traitement des données concernées une déclaration écrite sur la question. Ce dernier lui répond dans les quinze jours ouvrables. Le DPD peut demander un complément d’information au responsable délégué du traitement, au sous-traitant ou à d’autres parties dans les 15 jours ouvrables.

3.   Le DPD fait rapport à la personne ayant demandé l’examen trois mois au plus tard après réception de la demande. Ce délai peut être suspendu jusqu’à ce que le DPD ait obtenu toutes les informations nécessaires qu’il a pu demander.

4.   Nul ne doit subir de préjudice pour avoir porté à l’attention du DPD un fait dont il allègue qu’il constitue une violation des dispositions du règlement (UE) 2018/1725.

1.   Le DPD est rattaché, sur le plan administratif, au secrétariat général. Il participe de ce fait à l’élaboration du plan de gestion annuel et de l’avant-projet de budget du secrétariat général.

2.   Le DPD est l’évaluateur du personnel du service de la protection des données. Le secrétaire général adjoint en est le validateur. Le DPD participe s’il y a lieu à la coordination de la gestion du secrétariat général.

1.   Lorsque la Commission exerce ses fonctions à l’égard des droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des exceptions établies dans ledit règlement s’applique.

2.   Sous réserve des articles 14 à 18 de la présente décision, la Commission peut limiter l’application des articles 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, ainsi que du principe de transparence établi à son article 4, paragraphe 1, point a), dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19 et 20 dudit règlement, dans le cas où l’exercice de ces droits et obligations compromettrait la finalité des missions du DPD, notamment en révélant ses outils et méthodes d’examen ou d’audit, ou porterait atteinte aux droits et aux libertés d’autres personnes concernées, conformément à l’article 25, paragraphe 1, point c), g) et h).

3.   Sous réserve des articles 14 à 18 de la présente décision, la Commission peut limiter les droits et obligations visés au paragraphe 2 du présent article en ce qui concerne les données à caractère personnel obtenues par le DPD auprès des services de la Commission ou auprès d’autres institutions et organes de l’Union. La Commission peut agir de la sorte lorsque l’exercice de ces droits et obligations pourrait être limité par ces services de la Commission ou par ces autres institutions ou organes de l’Union sur la base d’autres actes visés à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement, au règlement (UE) 2016/794 du Parlement européen et du Conseil (6) ou au règlement (UE) 2017/1939 du Conseil (7).

Avant d’appliquer des limitations dans les cas visés au premier alinéa, la Commission consulte les institutions ou organes concernés de l’Union à moins qu’il ne soit manifeste pour elle que l’application d’une limitation est prévue par l’un des actes visés à cet alinéa.

4.   Toute limitation de l’application des droits et obligations visés au paragraphe 2 du présent article est nécessaire et proportionnée, compte tenu des risques qui pèsent sur les droits et libertés des personnes concernées.

1.   La Commission publie sur son site web des avis relatifs à la protection des données informant toutes les personnes concernées des missions du DPD impliquant le traitement de leurs données à caractère personnel.

2.   La Commission informe individuellement, sous une forme appropriée, toute personne physique qu’elle considère comme une personne concernée par les missions du DPD ou comme un informateur.

3.   Lorsque la Commission limite, entièrement ou partiellement, la communication des informations aux personnes concernées visées au paragraphe 2, elle enregistre et consigne dans un registre les motifs de la limitation conformément à l’article 17.

1.   Lorsque la Commission limite, entièrement ou partiellement, le droit d’accès des personnes concernées à leurs données à caractère personnel, le droit à l’effacement ou le droit à la limitation du traitement prévus respectivement aux articles 17, 19 et 20 du règlement (UE) 2018/1725, elle informe la personne concernée, dans sa réponse à la demande d’accès, d’effacement ou de limitation du traitement, de la limitation appliquée et des principaux motifs de cette limitation, ainsi de la possibilité d’introduire une réclamation auprès du CEPD ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

2.   La communication des informations relatives aux motifs de la limitation visée au paragraphe 1 du présent article peut être différée, omise ou refusée aussi longtemps que ces informations risquent de nuire à la finalité de la limitation.

3.   La Commission enregistre et consigne dans un registre les motifs de la limitation conformément à l’article 17.

4.   Lorsque le droit d’accès est entièrement ou partiellement limité, la personne concernée est autorisée à exercer son droit d’accès par l’intermédiaire du CEPD, conformément à l’article 25, paragraphes 6, 7 et 8, du règlement (UE) 2018/1725.

1.   La Commission enregistre les motifs de toute limitation appliquée en vertu de la présente décision, y compris une évaluation au cas par cas de la nécessité et du caractère proportionné de la limitation, en tenant compte des éléments pertinents visés à l’article 25, paragraphe 2, du règlement (UE) 2018/1725.

À cette fin, il est indiqué de quelle manière l’exercice du droit concerné compromettrait la finalité des missions du DPD au titre de la présente décision ou des limitations appliquées en vertu de l’article 13, paragraphe 2 ou 3, ou porterait atteinte aux droits et libertés d’autres personnes concernées.

2.   Les informations relatives aux limitations et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ces informations et documents sont mis à la disposition du CEPD sur demande.

1.   Les limitations visées aux articles 14, 15 et 16 continuent de s’appliquer aussi longtemps que les motifs qui les justifient restent valables.

2.   Lorsque les motifs d’une limitation visée à l’article 14 ou 16 ne sont plus valables, la Commission lève la limitation et communique les motifs de cette dernière à la personne concernée. Dans le même temps, la Commission informe la personne concernée de la possibilité d’introduire à tout moment une réclamation auprès du CEPD ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

3.   La Commission réexamine l’application des limitations visées aux articles 14 et 16 tous les six mois à compter de leur adoption et, dans tous les cas, à la clôture de l’activité concernée du DPD. Par la suite, la Commission vérifie chaque année la nécessité de maintenir les limitations ou les reports.

1.   Lorsque d’autres services de la Commission concluent que les droits d’une personne concernée devraient être limités en vertu de la présente décision, ils en informent le DPD. Ils donnent également au DPD l’accès aux informations consignées dans le registre et à tous les documents contenant des éléments factuels et juridiques sous-jacents.

2.   Le DPD peut demander au responsable délégué du traitement du service concerné de la Commission de réexaminer l’application de la limitation. Ce dernier informe le DPD par écrit du résultat du réexamen demandé.