|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/11 |
DÉCISION DU CONSEIL D’ADMINISTRATION DE L’AGENCE DE L’UNION EUROPÉENNE POUR LA CYBERSÉCURITÉ
du 21 novembre 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l’ENISA
LE CONSEIL D’ADMINISTRATION DE L’ENISA
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
vu le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (2), et notamment son article 15, paragraphe 1,
vu l’avis du Contrôleur européen de la protection des données (le «CEPD») du 17 octobre 2019 et les lignes directrices du CEPD concernant l’article 25 du règlement (UE) 2018/1725 et les règles internes,
considérant ce qui suit:
|
(1) |
Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes à adopter par l’ENISA, lorsque celles-ci ne sont pas fondées sur des actes juridiques adoptés sur la base des traités. |
|
(2) |
Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne devraient pas s’appliquer lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées. |
|
(3) |
Lorsque l’ENISA exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des exceptions établies dans ledit règlement s’applique. |
|
(4) |
L’ENISA peut, dans le cadre de son fonctionnement administratif, mener des enquêtes administratives, des procédures disciplinaires et des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’Office européen de lutte antifraude (l’«OLAF»), traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, procéder à des audits internes, procéder à une évaluation des incidents de sécurité informatique conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, confier la conduite d’enquêtes au délégué à la protection des données (le «DPD») conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) internes. L’ENISA traite plusieurs catégories de données à caractère personnel, y compris des données vérifiables (les données «objectives», telles que les données d’identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et/ou des données non vérifiées (les données «subjectives» concernant le cas d’espèce, telles que la motivation, les données relatives au comportement, les appréciations, les performances et la conduite, et les données relatives à l’objet de la procédure ou de l’activité ou encore les données présentées dans le cadre de la procédure ou de l’activité). |
|
(5) |
L’ENISA, représentée par son directeur exécutif, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure de la fonction de responsable du traitement, au sein de l’ENISA, afin de tenir compte des responsabilités opérationnelles liées à des traitements spécifiques de données à caractère personnel. |
|
(6) |
Les données à caractère personnel sont stockées de manière sécurisée dans un environnement électronique ou sur papier, empêchant ainsi tout accès illicite aux données par des personnes qui n’ont pas besoin d’en connaître ou tout transfert illicite à ces dernières. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux finalités pour lesquelles elles sont traitées, pendant la période indiquée dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de l’ENISA. |
|
(7) |
Les règles internes devraient s’appliquer à toutes les opérations de traitement effectuées par l’ENISA dans le cadre des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, des procédures de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, du traitement de plaintes internes et externes, des audits internes, de l’évaluation des incidents de sécurité informatique conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, des enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et des enquêtes de sécurité (informatique) réalisées en interne ou avec une participation externe (par exemple CERT-UE). |
|
(8) |
Ces règles internes devraient s’appliquer aux opérations de traitement effectuées avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des mesures prises à l’issue de ces procédures. Ces règles devraient aussi couvrir l’assistance et la coopération fournies par l’ENISA aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives. |
|
(9) |
Dans les cas où ces règles internes s’appliquent, l’ENISA doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent le contenu essentiel des libertés et droits fondamentaux. |
|
(10) |
Dans ce cadre, l’ENISA est tenue de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725. |
|
(11) |
Toutefois, l’ENISA peut être obligée de limiter la communication d’informations à la personne concernée et d’autres droits de la personne concernée afin de protéger, en particulier, ses propres enquêtes, les enquêtes et les procédures d’autres autorités publiques, ainsi que les droits d’autres personnes liées à ses enquêtes ou à d’autres procédures. |
|
(12) |
L’ENISA peut donc limiter la communication d’informations dans le but de protéger l’enquête ainsi que les libertés et droits fondamentaux d’autres personnes concernées. |
|
(13) |
L’ENISA devrait vérifier régulièrement que les conditions qui justifient la limitation s’appliquent et lever la limitation dès lors que celles-ci cessent de s’appliquer. |
|
(14) |
Le responsable du traitement devrait informer le délégué à la protection des données au moment de différer la communication d’informations et lors des révisions. |
|
(15) |
En raison de l’importance des règles internes pour la protection des droits des personnes concernées, la décision devrait entrer en vigueur dès que possible après sa publication au Journal officiel de l’Union européenne, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision fixe les conditions dans lesquelles l’ENISA, dans le cadre de ses procédures visées au point 2, peut limiter l’application des droits consacrés aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4 des présentes, conformément à l’article 25 du règlement (UE) 2018/1725.
2. La présente décision s’applique, dans le cadre du fonctionnement administratif de l’ENISA, aux opérations de traitement de données à caractère personnel effectuées par l’ENISA aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes, procéder à une évaluation des incidents de sécurité informatique conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (par exemple CERT-UE).
3. Les catégories de données concernées sont des données vérifiables (les données «objectives», telles que les données d’identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et/ou des données non vérifiées (les données «subjectives» concernant le cas d’espèce, telles que la motivation, les données relatives au comportement, les appréciations, les performances et la conduite, et les données relatives à l’objet de la procédure ou de l’activité ou encore les données présentées dans le cadre de la procédure ou de l’activité).
4. Lorsque l’ENISA exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des exceptions établies dans ledit règlement s’applique.
5. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits ci-après: la communication d’informations à des personnes concernées, le droit d’accès, de rectification, d’effacement, de limitation du traitement, de communication à la personne concernée d’une violation de ses données à caractère personnel ou le droit relatif à la confidentialité des communications.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties mises en place pour éviter les violations de données, les fuites ou la divulgation non autorisée sont les suivantes:
|
a) |
la conservation des documents papier dans des armoires sécurisées et accessibles au seul personnel habilité; |
|
b) |
le stockage de toutes les données électroniques dans une application informatique sécurisée, conformément aux normes de sécurité de l’ENISA, ainsi que dans des dossiers électroniques spécifiques accessibles au seul personnel habilité. Les niveaux d’accès appropriés sont accordés individuellement; |
|
c) |
la protection de la base de données par un mot de passe dans un système d’authentification unique et la connexion automatique de la base de données à l’identifiant et au mot de passe de l’utilisateur. Le remplacement d’utilisateurs est strictement interdit. Les enregistrements électroniques sont conservés en toute sécurité afin de préserver la confidentialité et le caractère privé des données qu’ils contiennent; |
|
d) |
toutes les personnes ayant accès aux données sont liées par l’obligation de confidentialité. |
2. Le responsable du traitement est l’ENISA, représentée par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de l’ENISA.
3. La durée de conservation des données à caractère personnel visées à l’article 1, paragraphe 3, n’est pas plus longue que nécessaire et elle est appropriée aux finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 5, paragraphe 1.
4. Lorsque L’ENISA envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures de l’ENISA, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.
Article 3
Limitations
1. L’ENISA n’appliquera une limitation que pour sauvegarder:
|
a) |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
|
b) |
d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale; |
|
c) |
la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques; |
|
d) |
la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
|
e) |
une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) et b); |
|
f) |
la protection de la personne concernée ou des droits et libertés d’autrui. |
2. L’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881 (le règlement sur la cybersécurité) relève du paragraphe 1, point b), du présent article.
3. Aux fins spécifiques de l’application des finalités énoncées au paragraphe 1 ci-dessus, l’ENISA peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d’autres institutions, organes et organismes de l’Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:
|
a) |
lorsque l’exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d’autres institutions, organes et organismes de l’Union sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’Union; |
|
b) |
lorsque l’exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4); |
|
c) |
lorsque l’exercice de ces droits et obligations pourrait compromettre la coopération de l’ENISA avec les pays tiers ou les organisations internationales dans l’accomplissement de ses missions. |
Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l’ENISA consulte les services compétents de la Commission, les institutions, organes et organismes de l’Union ou les autorités compétentes des États membres à moins qu’il ne soit clair pour l’ENISA que l’application d’une limitation est prévue par l’un des actes visés à ces points.
4. Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.
5. Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
6. Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier, lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.
Article 4
Réexamen par le délégué à la protection des données
1. L’ENISA informe, sans retard injustifié, le délégué à la protection des données de l’Agence (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne la date à laquelle le DPD a été informé dans le registre. L’ENISA associe le DPD à toutes les procédures pertinentes et la participation du DPD est documentée.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.
3. Le responsable du traitement informe le DPD lorsque la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à l’information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
i) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
L’ENISA inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet pour informer les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. En outre, sans préjudice des dispositions du paragraphe 3 du présent article, l’ENISA informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, sans retard injustifié et par écrit.
3. Lorsque l’ENISA limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2 du présent article, elle consigne dans un relevé les motifs de la limitation et la base juridique de la limitation conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de la nécessité et de la proportionnalité de la limitation.
Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
4. La limitation visée au paragraphe 3 du présent article continue de s’appliquer tant que les raisons la justifiant persistent.
Lorsque les raisons de la limitation ne s’appliquent plus, l’ENISA fournit des informations à la personne concernée sur les principales raisons sur lesquelles l’application d’une limitation est fondée. Dans le même temps, l’ENISA informe la personne concernée de son droit de saisir le Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
L’ENISA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
Article 6
Droit d’accès de la personne concernée
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit d’accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
i) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, l’ENISA limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque l’ENISA limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:
|
a) |
elle informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
elle consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée. |
La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
L’ENISA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
3. Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit de rectification, d’effacement et de limitation peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
i) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
2. Dans le cas où l’ENISA limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement, visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, elle prend les mesures visées à l’article 6, paragraphe 2, de la présente décision et conformément à son article 6, paragraphe 3.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel et confidentialité des communications électroniques
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
le traitement de plaintes internes et externes; |
|
e) |
les audits internes; |
|
f) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
g) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
h) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
2. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures formelles en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
g) |
l’évaluation des incidents liés de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
3. Dans le cas où l’ENISA limite la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, elle applique les dispositions de l’article 5, paragraphe 3, de la présente décision. L’article 5, paragraphe 4, de la présente décision s’applique.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Athènes, le 21 novembre 2019.
Pour l’ENISA
Jean-Baptiste DEMAISON
Président du conseil d’administration
(1) JO L 295 du 21.11.2018, p. 39.
(2) JO L 151 du 7.6.2019, p. 15.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).