|
28.6.2021 |
FR |
Journal officiel de l’Union européenne |
L 228/3 |
Décision du conseil d’administration portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par l’Agence européenne pour l’environnement
LE CONSEIL D’ADMINISTRATION DE L’AGENCE EUROPÉENNE POUR L’ENVIRONNEMENT,
VU le traité sur le fonctionnement de l’Union européenne,
VU le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
VU le règlement (CE) no 401/2009 du Parlement européen et du Conseil du 23 avril 2009 relatif à l’Agence européenne pour l’environnement et au réseau européen d’information et d’observation pour l’environnement (version codifiée) (2), et notamment son article 8,
VU l’avis du Contrôleur européen de la protection des données (CEPD) du 13 mars 2020 et les orientations du CEPD sur l’article 25 du règlement (UE) 2018/1725 et les règles internes,
après consultation du comité du personnel,
CONSIDÉRANT CE QUI SUIT:
|
(1) |
L’Agence européenne pour l’environnement (ci-après l’«Agence») est habilitée à mener des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension, conformément au statut des fonctionnaires de l’Union européenne et au régime applicable aux autres agents de l’Union européenne, définis dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (le «statut») (3), et à la décision du conseil d’administration de l’AEE du 15 février 2013 concernant la conduite des enquêtes administratives et des procédures disciplinaires. Si nécessaire, elle notifie également les cas à l’OLAF. |
|
(2) |
Les membres du personnel de l’Agence sont tenus de signaler toute activité potentiellement illégale, y compris la fraude et la corruption, qui portent atteinte aux intérêts de l’Union. Les membres du personnel sont également tenus de signaler une conduite en rapport avec l’exercice de fonctions professionnelles pouvant constituer un manquement grave aux obligations des fonctionnaires de l’Union. Ce principe est régi par la décision du conseil d’administration de l’AEE du 24 avril 2018 établissant des lignes directrices pour le signalement des dysfonctionnements (Décision EEA/MB/2018/011). |
|
(3) |
L’Agence a mis en place une politique visant à prévenir et à traiter de manière efficace les cas réels ou potentiels de harcèlement moral ou sexuel sur le lieu de travail, conformément à la décision de son conseil d’administration du 13 juin 2017 relative à la politique de l’EEE en matière de protection de la dignité de la personne et de prévention du harcèlement moral et du harcèlement sexuel (Décision EEA/MB/2017/011). Ladite décision établit une procédure informelle dans le cadre de laquelle la victime présumée du harcèlement peut contacter les conseillers «confidentiels» de l’Agence. |
|
(4) |
L’Agence fait l’objet d’audits à la fois internes et externes concernant ses activités. |
|
(5) |
Dans le cadre de ces enquêtes administratives, audits et enquêtes, l’Agence coopère avec d’autres institutions, organes et organismes de l’Union. |
|
(6) |
L’Agence peut coopérer avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou de sa propre initiative. |
|
(7) |
L’Agence peut également coopérer avec les pouvoirs publics des États membres de l’UE, à la demande de ceux-ci ou de sa propre initiative. |
|
(8) |
L’Agence est impliquée dans des affaires portées devant la Cour de justice de l’Union européenne soit pour saisir la Cour, soit pour défendre une décision de l’AEE attaquée ou pour intervenir dans des affaires relatives à ses missions. Dans ce contexte, l’Agence pourrait devoir préserver la confidentialité des données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes. |
|
(9) |
Pour remplir ses missions, l’Agence collecte et traite des informations et plusieurs catégories de données à caractère personnel, y compris les données d’identification de personnes physiques, les coordonnées, les fonctions et tâches professionnelles, les informations sur la conduite et les activités professionnelles et privées, ainsi que les données financières. L’Agence agit en qualité de responsable du traitement des données. |
|
(10) |
En vertu du règlement (UE) 2018/1725 (le «règlement»), l’Agence est donc tenue de fournir des informations aux personnes concernées en ce qui concerne ces activités de traitement et de respecter les droits des personnes concernées. |
|
(11) |
L’Agence pourrait devoir concilier ces droits avec les objectifs des enquêtes administratives, des audits, des enquêtes et des procédures judiciaires. Il peut également s’avérer nécessaire de mettre en balance les droits d’une personne concernée avec les libertés et droits fondamentaux d’autres personnes concernées. À cette fin, l’article 25 du règlement prévoit la possibilité pour l’Agence de limiter, dans des conditions strictes, l’application des articles 14 à 22, 35 et 36 du règlement, ainsi que de son article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20. Il est nécessaire d’adopter des règles internes en vertu desquelles l’Agence est habilitée à limiter ces droits, sauf si des limitations sont prévues dans un acte juridique adopté sur la base des traités. |
|
(12) |
L’Agence pourrait, par exemple, devoir limiter les informations qu’elle fournit à une personne concernée sur le traitement de ses données à caractère personnel pendant la phase d’évaluation préliminaire d’une enquête administrative ou pendant l’enquête elle-même, préalablement à un classement éventuel de l’affaire ou à la phase prédisciplinaire. Dans certaines circonstances, la communication de ces informations pourrait sérieusement compromettre la capacité de l’Agence à mener l’enquête de manière efficace, lorsque, par exemple, la personne risque de détruire des preuves ou de tenter d’influencer des témoins potentiels avant que ceux-ci ne soient interrogés. En outre, l’Agence pourrait devoir protéger les droits et libertés des témoins ainsi que ceux des autres personnes concernées. |
|
(13) |
Il pourrait s’avérer nécessaire de protéger l’anonymat d’un témoin ou d’un lanceur d’alerte qui a demandé à ne pas être identifié. En pareil cas, l’Agence peut décider de limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de ces personnes, afin de protéger leurs droits et libertés. |
|
(14) |
Il pourrait s’avérer nécessaire de protéger les informations confidentielles concernant un membre du personnel qui a contacté les conseillers confidentiels de l’Agence dans le cadre d’une procédure relative au harcèlement. Dans ce cas, l’Agence pourrait devoir limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de la victime présumée, du harceleur présumé et des autres personnes concernées, afin de protéger les droits et libertés de toutes les personnes concernées. |
|
(15) |
Les limitations appliquées par l’Agence doivent toujours respecter l’essence des libertés et droits fondamentaux et constituer une mesure strictement nécessaire et proportionnée dans une société démocratique. L’Agence doit justifier ces limitations. |
|
(16) |
En application du principe de responsabilité, l’Agence doit tenir un registre relatif à son application des limitations. |
|
(17) |
Lorsqu’elle traite des données à caractère personnel échangées avec d’autres organisations dans le cadre de ses missions, l’Agence et ces organisations doivent se consulter sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité de ces limitations, à moins que cela ne compromette les activités de l’Agence. |
|
(18) |
L’article 25, paragraphe 6, du règlement impose au responsable du traitement d’informer les personnes concernées des principales raisons qui motivent l’application de la limitation et de leur droit de saisir le CEPD. |
|
(19) |
Conformément à l’article 25, paragraphe 8, du règlement, l’Agence est autorisée à différer, à omettre ou à refuser la communication d’informations sur les motifs de l’application d’une limitation à la personne concernée si cela prive d’effet, de quelque manière que ce soit, la limitation imposée. L’Agence doit évaluer au cas par cas si la communication des informations prive d’effet la limitation imposée. |
|
(20) |
L’Agence doit lever la limitation dès que les conditions qui la justifient ne s’appliquent plus et évaluer régulièrement ces conditions. |
|
(21) |
Afin de garantir la plus grande protection des droits et libertés des personnes concernées et conformément à l’article 44, paragraphe 1, du règlement, le délégué à la protection des données (DPD) doit être informé en temps utile de toute limitation qui peut être appliquée et vérifier sa conformité avec la présente décision. |
|
(22) |
L’article 16, paragraphe 5, et l’article 17, paragraphe 4, du règlement prévoient des exceptions au droit à l’information et au droit d’accès des personnes concernées. Si ces exceptions s’appliquent, l’Agence ne doit pas appliquer une limitation en vertu de la présente décision, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles l’Agence peut limiter l’application des articles 4, 14 à 22, 35 et 36, conformément à l’article 25 du règlement.
2. L’Agence, en sa qualité de responsable du traitement, est représentée par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement au sein de l’Agence afin de tenir compte des responsabilités opérationnelles liées à des traitements spécifiques de données à caractère personnel.
Article 2
Limitations
1. L’Agence peut limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20:
|
a) |
conformément à l’article 25, paragraphe 1, points b), c), f), g) et h), du règlement, lorsqu’elle mène des enquêtes administratives, des procédures prédisciplinaires et disciplinaires ou des procédures de suspension en vertu de l’article 86 et de l’annexe IX du statut et en vertu de la décision du conseil d’administration de l’AEE du 15 février 2013 concernant la conduite des enquêtes administratives et des procédures disciplinaires, lorsqu’elle traite les plaintes internes et externes, ainsi que lorsqu’elle notifie les cas à l’OLAF; |
|
b) |
conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle fait en sorte que les membres du personnel de l’Agence puissent, à titre confidentiel, communiquer des faits lorsqu’ils estiment qu’il existe de graves irrégularités, comme prévu dans la décision du conseil d’administration de l’AEE du 24 avril 2018 établissant des lignes directrices pour le signalement des dysfonctionnements (Décision EEA/MB/2018/011); |
|
c) |
conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle veille à ce que les membres du personnel de l’Agence puissent informer des conseillers confidentiels dans le cadre d’une procédure relative au harcèlement, telle que définie dans la décision du conseil d’administration de l’AEE du 13 juin 2017 relative à la politique de l’AEE en matière de protection de la dignité de la personne et de prévention du harcèlement moral et du harcèlement sexuel (Décision EEA/MB/2017/011); |
|
d) |
conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle mène des audits internes portant sur les activités ou les départements de l’Agence, en ce compris les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725 et les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (CERT-UE, par exemple); |
|
e) |
conformément à l’article 25, paragraphe 1, points c), d), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec d’autres institutions, organes et organismes de l’Union dans le cadre des activités visées aux points a) à d) du présent paragraphe et conformément aux dispositions des accords de niveau de service, des protocoles d’accord et des accords de coopération; |
|
f) |
conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou à de sa propre initiative; |
|
g) |
conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance et de la coopération mutuelles avec les pouvoirs publics des États membres de l’Union, à la demande de ceux-ci ou de sa propre initiative; |
|
h) |
conformément à l’article 25, paragraphe 1, point e), du règlement, lorsqu’elle traite les données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes dans le cadre des procédures devant la Cour de justice de l’Union européenne. |
|
i) |
Toute limitation doit respecter l’essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique. |
2. Une évaluation de la nécessité et de la proportionnalité est effectuée au cas par cas avant l’application des limitations. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre leur objectif.
3. À des fins de responsabilité, l’Agence dépose un dossier décrivant les raisons des limitations appliquées, les motifs parmi ceux énumérés au paragraphe 1 qui s’appliquent et le résultat de l’évaluation de la nécessité et de la proportionnalité. Ces dossiers font partie d’un registre, qui est mis à la disposition du CEPD sur demande. L’Agence prépare des rapports périodiques sur l’application de l’article 25 du règlement.
4. Lorsqu’elle traite des données à caractère personnel reçues d’autres organisations dans le cadre de ses missions, l’Agence consulte lesdites organisations sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité des limitations concernées, à moins que cela ne compromette les activités de l’Agence.
5. Les catégories de données concernées sont des données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou des données non vérifiées (données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).
Article 3
Risques pour les droits et libertés des personnes concernées
1. Les évaluations des risques pour les droits et libertés des personnes concernées de l’imposition des limitations et les informations relatives à la durée d’application de ces limitations sont enregistrées dans le registre des activités de traitement tenu par l’Agence en vertu de l’article 31 du règlement. Elles sont également enregistrées dans les analyses d’impact relatives à la protection des données concernant ces limitations, effectuées en vertu de l’article 39 du règlement.
2. Lorsque l’Agence évalue la nécessité et la proportionnalité d’une limitation, elle tient compte des risques potentiels pour les droits et libertés de la personne concernée.
Article 4
Garanties et durées de conservation
1. L’Agence met en œuvre des garanties afin de prévenir les abus et l’accès ou le transfert illicites des données à caractère personnel pour lesquelles des limitations s’appliquent ou pourraient s’appliquer. Ces garanties comprennent des mesures techniques et organisationnelles et sont détaillées, le cas échéant, dans les décisions, procédures et dispositions d’application de l’Agence. Les garanties comprennent:
|
a) |
une définition claire des rôles, des responsabilités et des étapes de la procédure; |
|
b) |
un environnement électronique sécurisé empêchant l'accès et le transfert illicites et accidentels de données électroniques à des personnes non autorisées. Toutes les données électroniques sont stockées dans une application informatique sécurisée, conformément aux normes de sécurité de l’Agence, ainsi que dans des dossiers électroniques spécifiques accessibles uniquement au personnel autorisé. Les niveaux d’accès appropriés sont accordés individuellement; |
|
c) |
le stockage et le traitement sécurisés des documents en version papier, lesquels sont conservés dans des armoires sécurisées et ne sont accessibles qu’au personnel autorisé; |
|
d) |
un suivi approprié des limitations et un réexamen périodique de leur application. |
2. Les réexamens visés au point d) sont effectués au moins tous les six mois.
3. Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister.
4. Les données à caractère personnel sont conservées conformément aux règles de conservation en vigueur de l’Agence, à définir dans les registres concernant la protection des données tenus en vertu de l’article 31 du règlement. À la fin de la durée de conservation, les données à caractère personnel sont supprimées, rendues anonymes ou renvoyées dans des archives conformément à l’article 13 du règlement.
Article 5
Participation du délégué à la protection des données
1. Le DPD de l’Agence est informé dans les meilleurs délais dès que les droits des personnes concernées sont limités conformément à la présente décision. Il a accès aux dossiers correspondants et à tout document concernant le contexte factuel ou juridique.
2. Le DPD de l’Agence peut demander un examen de l’application d’une limitation. L’Agence informe son DPD par écrit du résultat de l’examen.
3. L’Agence documente la participation du DPD à l’application des limitations, y compris la nature des informations qui sont échangées avec lui.
Article 6
Information des personnes concernées sur les limitations de leurs droits
1. L’Agence inclut dans les avis de protection des données publiés sur son intranet une section fournissant des informations générales aux personnes concernées sur les limitations potentielles des droits des personnes concernées, conformément à l’article 2, paragraphe 1. Ces informations portent sur les droits susceptibles d’être limités, les motifs pour lesquels des limitations peuvent s’appliquer, ainsi que leur durée potentielle.
2. L’Agence informe les personnes concernées individuellement de toute limitation en cours ou future de leurs droits par écrit et dans les meilleurs délais. L’Agence informe la personne concernée des principales raisons qui motivent l’application de la limitation, de son droit de consulter le DPD en vue de contester la limitation et de son droit de saisir le CEPD.
3. L’Agence peut différer, omettre ou refuser la communication d’informations sur les motifs d’une limitation et le droit de saisir le CEPD dès lors que cela priverait d’effet la limitation. L’évaluation visant à déterminer si cela est justifié se fait au cas par cas. Dès lors que cela ne prive plus d’effet la limitation, l’Agence communique les informations à la personne concernée.
Article 7
Communication à la personne concernée d’une violation de données à caractère personnel
1. Lorsque l’Agence a l’obligation de communiquer une violation de données en vertu de l’article 35, paragraphe 1, du règlement, elle peut, dans des cas exceptionnels, limiter cette communication en tout ou en partie. Elle documente dans une note les raisons de la limitation, son motif juridique en vertu de l’article 2 et une évaluation de sa nécessité et de sa proportionnalité. La note est communiquée au CEPD au moment de la notification de la violation de données à caractère personnel.
2. Lorsque les raisons de la limitation ne s’appliquent plus, l’Agence informe la personne concernée de la violation de données à caractère personnel et des principales raisons de la limitation, ainsi que de son droit de saisir le CEPD.
Article 8
Confidentialité des communications électroniques
1. Dans des circonstances exceptionnelles, l’Agence peut limiter le droit à la confidentialité des communications électroniques en vertu de l’article 36 du règlement. Ces limitations sont conformes à la directive 2002/58/CE du Parlement européen et du Conseil (4).
2. Lorsque l’Agence limite le droit à la confidentialité des communications électroniques, elle informe la personne concernée des principales raisons qui motivent l’application de la limitation et de son droit de saisir le CEPD.
3. L’Agence peut différer, omettre ou refuser la communication d’informations sur les motifs d’une limitation et le droit de saisir le CEPD dès lors que cela priverait d’effet la limitation. L’évaluation visant à déterminer si cela est justifié se fait au cas par cas.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Décision approuvée par le conseil d’administration, par voie de procédure écrite,
le 19 avril 2021.
Laura BURKE
Présidente du conseil d’administration de l’AEE
(1) JO L 295 du 21.11.2018, p. 39.
(2) JO L 126 du 21.5.2009, p. 13
(3) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil, du 29 février 1968, fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).
(4) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).