|
2.12.2022 |
FR |
Journal officiel de l’Union européenne |
L 311/176 |
DÉCISION (UE) 2022/2359 DE LA BANQUE CENTRALE EUROPÉENNE
du 22 novembre 2022
portant adoption de règles internes concernant les limitations des droits des personnes concernées dans le cadre du fonctionnement interne de la Banque centrale européenne (BCE/2022/42)
LE DIRECTOIRE DE LA BANQUE CENTRALE EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu les statuts du Système européen de banques centrales et de la Banque centrale européenne, et notamment leur article 11.6,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (1) et notamment son article 25,
considérant ce qui suit:
|
(1) |
La Banque centrale européenne (BCE) exerce ses missions conformément aux traités. |
|
(2) |
Conformément à l’article 45, paragraphe 3, du règlement (UE) 2018/1725, la décision (UE) 2020/655 de la Banque centrale européenne (BCE/2020/28) (2) établit les règles générales d’application du règlement (UE) 2018/1725 pour ce qui concerne la BCE. Elle précise notamment les règles relatives à la désignation et au rôle du délégué à la protection des données de la BCE, y compris ses missions, ses fonctions et ses compétences. |
|
(3) |
Dans l’exercice des missions qui lui sont confiées, la BCE, et notamment l’unité organisationnelle concernée, agit en qualité de responsable du traitement dans la mesure où elle détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement des données à caractère personnel. |
|
(4) |
En ce qui concerne le fonctionnement interne de la BCE, divers services de celle-ci (dont la direction générale des ressources humaines (DG/RH), le bureau de conformité et de gouvernance (CGO), la direction de l’audit interne (D/IA) et la direction générale des affaires juridiques (DG/L)) sont chargées de missions dans le cadre juridique régissant les conditions d’emploi à la BCE qui impliquent le traitement de données à caractère personnel. Ces missions peuvent comprendre, par exemple, les mesures prises en rapport avec des manquements potentiels à des obligations professionnelles (y compris les enquêtes visant des comportements inappropriés en vertu du cadre la BCE relatif à la dignité au travail et le suivi du signalement de toute activité illégale ou de tout manquement à des obligations professionnelles transmis par tout moyen, notamment l’outil de lancement d’alerte de la BCE); les missions relatives aux procédures de sélection; les missions assurées par la DG/RH dans l’exercice de ses fonctions relatives à la gestion de la performance, à la promotion, à la nomination directe du personnel de la BCE, au développement professionnel, y compris le calibrage des talents entre les services et dans chaque service, aux augmentations de salaire et aux primes ainsi qu’aux décisions relatives à la mobilité et aux congés; l’examen des recours internes formés par le personnel de la BCE (y compris au moyen de procédures de réexamen administratif et de réclamation, des procédures spéciales de recours ou des comités médicaux) et le suivi de ces recours; les fonctions consultatives confiées au CGO en vertu du cadre d’éthique professionnelle de la BCE (établi dans la section 0 des règles applicables au personnel de la BCE) et les missions du CGO relatives au contrôle de la conformité des activités financières d’ordre privé (y compris la coopération avec tout prestataire de services externe désigné conformément à l’article 0.4.3.3 des règles applicables au personnel de la BCE); ainsi que les audits effectués par la D/IA et les missions accomplies dans le cadre de la circulaire administrative 01/2006 sur les enquêtes administratives internes (3) lors des activités d’enquête et enquêtes administratives menées dans les cas susceptibles de présenter une possible dimension disciplinaire impliquant le personnel de la BCE (y compris les missions des personnes menant l’enquête ou des membres de la commission d’enquête lorsqu’il leur est demandé de recueillir des éléments de preuve et d’établir les faits pertinents). |
|
(5) |
En vertu de la décision (UE) 2016/456 de la Banque centrale européenne (BCE/2016/3) (4), la BCE est tenue de transmettre à l’Office européen de lutte antifraude, à la demande de ce dernier ou de sa propre initiative, les informations en sa possession laissant soupçonner l'existence d'éventuels cas de fraude ou de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l'Union. La décision (UE) 2016/456 (BCE/2016/3) dispose que, dans un tel cas, les intéressés sont informés rapidement, à condition que cela ne risque pas de nuire à l'enquête, et que, en tout état de cause, aucune conclusion visant nominativement un intéressé ne peut être tirée sans que l'intéressé ait été à même de s'exprimer sur tous les faits qui le concernent, y compris sur toutes les preuves à son encontre. |
|
(6) |
Conformément à l’article 4, point b), de la décision (UE) 2020/655 (BCE/2020/28), le délégué à la protection des données doit examiner les questions et les incidents en rapport avec la protection des données, que ce soit à sa propre initiative ou à la demande de la BCE. |
|
(7) |
La division sûreté et sécurité, qui fait partie de la direction Administration, est chargée de mener des enquêtes pour assurer la sécurité physique des personnes, des locaux et des biens à la BCE, pour recueillir des renseignements sur les menaces et pour effectuer des analyses des incidents liés à la sécurité. |
|
(8) |
La BCE a une obligation de coopération loyale avec les autorités nationales, y compris celles qui sont chargées des poursuites pénales. En particulier, en vertu de la décision (UE) 2016/1162 de la Banque centrale européenne (BCE/2016/19) (5), la BCE peut, à la demande d’une autorité nationale responsable des enquêtes pénales, fournir les informations confidentielles qu’elle détient et liées aux missions qui lui sont confiées par le règlement (UE) n° 1024/2013 du Conseil (6) ou à d'autres missions liées au SEBC/Eurosystème respectivement à une ACN ou à une BCN aux fins de leur divulgation à l'autorité nationale responsable des enquêtes pénales en question sous certaines conditions. |
|
(9) |
En vertu du règlement (UE) 2017/1939 du Conseil (7), la BCE doit fournir sans délai toute information au Parquet européen en cas de soupçon d’infraction relevant de sa compétence. |
|
(10) |
La BCE doit coopérer avec les organes de l’Union exerçant à son égard une fonction de supervision, de suivi ou d’audit, tels que le contrôleur européen de la protection des données, la Cour des comptes européenne et le Médiateur européen, dans l’exercice de leurs missions respectives. Dans ce contexte, la BCE est susceptible de traiter des données à caractère personnel afin de pouvoir répondre aux demandes de ces organes, de les consulter et de leur fournir des informations. |
|
(11) |
En vertu de son cadre interne de résolution des différends, la BCE peut contacter un médiateur à tout moment et par tout moyen afin de lui demander de l’aide pour résoudre et prévenir un différend d’ordre professionnel. Ce cadre prévoit que toute communication avec le médiateur est protégée au titre de la confidentialité. Tout élément mentionné au cours du processus de médiation est considéré comme privilégié et chaque partie impliquée dans la médiation doit utiliser ces informations exclusivement aux fins du processus de médiation, sans préjudice de toute action en justice. À titre exceptionnel, le médiateur peut divulguer des informations lorsque cela semble nécessaire pour prévenir un risque imminent d’atteinte grave à l’intégrité physique ou mentale d’une personne. |
|
(12) |
La BCE s'efforce de garantir des conditions de travail qui protègent la santé et la sécurité de son personnel et respectent sa dignité au travail en mettant à sa disposition des services de conseil pour le soutenir. Le personnel de la BCE peut solliciter les services d’un conseiller social pour tous problèmes, y compris émotionnels, personnels et d’ordre professionnel. Le conseiller social n’a pas accès au dossier personnel des membres du personnel de la BCE, sauf si ceux-ci y consentent expressément. Aucune information recueillie par le conseiller social ou aucune déclaration qui lui est faite par une personne ne peut être divulguée, sauf autorisation expresse de la personne concernée ou en cas d’obligation légale. |
|
(13) |
Dans le cadre de son fonctionnement interne, la BCE traite plusieurs catégories de données pouvant concerner une personne physique identifiée ou identifiable. Des listes non exhaustives de ces catégories de données à caractère personnel traitées par la BCE dans le cadre de son fonctionnement interne figurent dans les annexes à la présente décision. Des données à caractère personnel peuvent également faire partie d’une évaluation, y compris une évaluation réalisée par le service responsable en rapport avec la question examinée, par exemple, une évaluation conduite par la DG/HR, la DG/L, la D/IA ou par une commission disciplinaire ou un groupe d’enquête sur un manquement à des obligations professionnelles. |
|
(14) |
Dans le cadre des considérants 4 à 13, il convient de préciser les motifs pour lesquels la BCE peut limiter les droits des personnes concernées. |
|
(15) |
Le but de la BCE, dans l’accomplissement de ses missions, est de poursuivre les objectifs importants d’intérêt public général de l’Union. Par conséquent, l’accomplissement de ces missions devrait être garanti comme le prévoit le règlement (UE) 2018/1725, et, notamment, l'article 25, paragraphe 1, points b), c), d), f), g) et h). |
|
(16) |
Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations à l’application des articles 14 à 22, 35 et 36 dudit règlement, ainsi que de son article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22 dudit règlement, doivent être établies dans des règles internes ou des actes juridiques adoptés sur la base des traités. Par conséquent, il convient que la BCE définisse les règles en vertu desquelles elle peut limiter les droits des personnes concernées dans l’’accomplissement de ses missions. |
|
(17) |
Il convient que la BCE démontre que de telles limitations des droits des personnes concernées sont strictement nécessaires et proportionnées dans une société démocratique pour garantir les objectifs poursuivis dans l’exercice de son autorité publique et des fonctions liées à celle-ci, et qu’elle démontre en quoi elle respecte l’essence des libertés et droits fondamentaux tout en imposant les limitations en question. |
|
(18) |
Dans ce cadre, la BCE est tenue de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées, notamment ceux relatifs au droit à l’information, à l’accès et à la rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation des données à caractère personnel à la personne concernée ou à la confidentialité des communications, comme le prévoit le règlement (UE) 2018/1725. |
|
(19) |
Toutefois, la BCE peut être tenue de limiter les informations fournies aux personnes concernées et les droits d’autres personnes concernées pour garantir l'accomplissement de ses missions, en particulier ses propres enquêtes et procédures, les enquêtes et procédures d’autres autorités publiques et les droits et libertés fondamentaux d’autres personnes liées à ses enquêtes ou à d’autres procédures. |
|
(20) |
Il convient que la BCE lève une limitation déjà appliquée lorsque celle-ci n’est plus nécessaire. |
|
(21) |
Il convient que le délégué à la protection des données réexamine l’application des limitations afin de garantir le respect de la présente décision et du règlement (UE) 2018/1725. |
|
(22) |
Bien que la présente décision établisse les règles en vertu desquelles la BCE peut limiter les droits des personnes concernées lorsqu’elle traite des données à caractère personnel dans le cadre de son fonctionnement interne, le directoire a adopté une décision distincte portant adoption de règles internes concernant la limitation des droits le cadre de l'accomplissement de ses missions de surveillance prudentielle. |
|
(23) |
La BCE a la possibilité d’appliquer des exceptions en vertu du règlement (UE) 2018/1725, ce qui rend inutile l’examen de la nécessité d'une limitation, notamment les exceptions prévues à l’article 15, paragraphe 4, à l’article 16, paragraphe 5, à l’article 19, paragraphe 3, et à l’article 35, paragraphe 3, dudit règlement. |
|
(24) |
Des dérogations aux droits des personnes concernées visés aux articles 17, 18, 20, 21, 22 et 23 du règlement (UE) 2018/1725 à des fins archivistiques dans l’intérêt public peuvent être prévues dans des règles internes ou dans des actes juridiques adoptés par la BCE sur le fondement des traités en ce qui concerne son archivage, sous réserve des conditions et garanties requises conformément à l’article 25, paragraphe 4, du règlement (UE) 2018/1725. |
|
(25) |
Le contrôleur européen de la protection des données a été consulté conformément à l'article 41, paragraphe 2, du règlement (UE) 2018/1725 et a rendu un avis le 12 mars 2021. |
|
(26) |
Le comité du personnel a été consulté, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives à la limitation des droits des personnes concernées par la BCE lorsque celle-ci exerce des activités de traitement de données à caractère personnel, telles qu’enregistrées dans le registre central, dans le cadre de son fonctionnement interne.
2. Les droits des personnes concernées susceptibles de faire l’objet d’une limitation sont mentionnés dans les articles suivants du règlement (UE) 2018/1725:
|
a) |
article 14 (transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée); |
|
b) |
article 15 (informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée); |
|
c) |
article 16 (informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée); |
|
d) |
article 17 (droit d'accès de la personne concernée); |
|
e) |
article 18 (droit de rectification); |
|
f) |
article 19 [droit à l'effacement («droit à l'oubli»)]; |
|
g) |
article 20 (droit à la limitation du traitement); |
|
h) |
article 21 (obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement); |
|
i) |
article 22 (droit à la portabilité des données); |
|
j) |
article 35 (communication à la personne concernée d'une violation de données à caractère personnel); |
|
k) |
article 36 (confidentialité des communications électroniques); |
|
l) |
article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22 du règlement (UE) 2018/1725. |
Article 2
Définitions
Aux fins de la présente décision, on entend par:
|
1) |
«traitement»: le traitement au sens de l'article 3, point 3, du règlement (UE) 2018/1725; |
|
2) |
«données à caractère personnel»: les données à caractère personnel au sens de l’article 3, point 1, du règlement (UE) 2018/1725; |
|
3) |
«personne concernée»: une personne physique identifiée ou identifiable; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
|
4) |
«registre central»: le recueil accessible au public de toutes les activités de traitement de données à caractère personnel effectuées à la BCE, tenu par le délégué à la protection des données et visé à l’article 9 de la décision (UE) 2020/655 (BCE/2020/28); |
|
5) |
«responsable du traitement»: la BCE, notamment l’unité organisationnelle compétente au sein de la BCE qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel et qui est responsable de l’opération de traitement; |
|
6) |
«institutions et organes de l’Union»: les institutions et organes de l’Union au sens de l’article 3, point 10, du règlement (UE) 2018/1725. |
Article 3
Application des limitations
1. Pour les activités de traitement des données exposées à l’article 1er, paragraphe 1, le responsable du traitement peut limiter les droits visés à l’article 1er, paragraphe 2, afin de garantir les intérêts et objectifs visés à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, lorsque l’exercice de ces droits mettrait en péril l’un des éléments suivants:
|
a) |
l’évaluation et le signalement des manquements potentiels aux obligations professionnelles et, si nécessaire, l’enquête et le suivi ultérieurs, y compris la suspension des fonctions, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), f) et/ou h), du règlement (UE) 2018/1725; |
|
b) |
les procédures formelles et/ou informelles relatives à la dignité au travail, y compris l’examen des cas pouvant aboutir à de telles procédures, comme prévu dans la section 0.5 des règles applicables au personnel de la BCE, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), f) et/ou h), du règlement (UE) 2018/1725; |
|
c) |
la bonne exécution des fonctions de la DG/RH en vertu du cadre du droit du travail au sein de la BCE en ce qui concerne la gestion des performances, les procédures de promotion ou la nomination directe du personnel de la BCE, les procédures de sélection et le développement professionnel, dont la protection est garantie conformément à l’article 25, paragraphe 1, points c) et/ou h) du règlement (UE) 2018/1725; |
|
d) |
l’examen des recours internes formés par le personnel de la BCE (y compris au moyen de procédures de réexamen administratif ou de réclamation, des procédures spéciales de recours ou des comités médicaux) et leur suivi, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c) et/ou h), du règlement (UE) 2018/1725; |
|
e) |
le signalement de toute activité illégale ou de tout manquement à des obligations professionnelles au moyen de l’outil de lancement d’alerte de la BCE ou l’évaluation des demandes par le CGO visant à protéger les lanceurs d’alerte ou les témoins contre les représailles, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), f) et/ou h), du règlement (UE) 2018/1725; |
|
f) |
les activités du CGO en vertu du cadre d’éthique professionnelle de la BCE établi dans la section 0 des règles applicables au personnel de la BCE et des règles relatives à la sélection et à la nomination énoncées dans la section 1A de ces mêmes règles, ainsi que le contrôle de la conformité des activités financières d'ordre privé y compris les fonctions exercées par le prestataire de services externe désigné conformément à l’article 0.4.3.3, desdites règles, et l’évaluation et le suivi des infractions potentielles résultant d’une telle surveillance par le CGO, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), f) et/ou h), du règlement (UE) 2018/1725; |
|
g) |
les audits effectués par la direction de l’audit interne, les activités d’enquête et les enquêtes administratives internes dont la protection est garantie conformément l’article 25, paragraphe 1, points b), c) et/ou h), du règlement (UE) 2018/1725; |
|
h) |
l’exercice des fonctions de la BCE en vertu de la décision (UE) 2016/456 (BCE/2016/3), en particulier l’obligation de la BCE de communiquer toute information relative à une activité illégale, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), g) et/ou h), du règlement (UE) 2018/1725; |
|
i) |
les enquêtes menées par le délégué à la protection des données sur les activités de traitement effectuées à la BCE en vertu de l’article 4, point b), de la décision (UE) 2020/655 (BCE/2020/28), dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), et/ou h), du règlement (UE) 2018/1725; |
|
j) |
les enquêtes visant à garantir la sécurité physique des personnes, des locaux et des biens à la BCE, qu’elle soit traitée en interne ou avec un soutien externe, à recueillir des renseignements sur les menaces et à analyser les incidents de sécurité, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), d) et/ou h), du règlement (UE) 2018/1725; |
|
k) |
les procédures judiciaires, dont la protection est garantie conformément à l’article 25, paragraphe 1, points b), c), et/ou h), du règlement (UE) 2018/1725; |
|
l) |
la coopération entre la BCE et les autorités nationales responsables des enquêtes pénales, en particulier la fourniture d'informations confidentielles détenues par la BCE en vue de leur divulgation à une autorité nationale d’enquête pénale à la demande de cette dernière, dont la protection est garantie conformément à l'article 25, paragraphe 1, points b), c), d) et/ou h), du règlement (UE) 2018/1725; |
|
m) |
la coopération entre la BCE et le Parquet européen en vertu du règlement (UE) 2017/1939, en particulier l’obligation pour la BCE de transmettre des informations sur les infractions, dont la protection garantie est conformément à l’article 25, paragraphe 1, points b), c), d) et/ou h), du règlement (UE) 2018/1725; |
|
n) |
la coopération avec les organes de l’UE exerçant une fonction de supervision, de surveillance ou d'audit auxquels la BCE est soumise, dont la protection est garantie conformément à l’article 25, paragraphe 1, points c), d), g) et/ou h), du règlement (UE) 2018/1725; |
|
o) |
l’accomplissement des missions d’un médiateur en vertu du cadre interne de règlement des différends de la BCE, en particulier l’aide à la résolution ou à la prévention d’un différend d’ordre professionnel, dont la protection est garantie conformément à l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725; |
|
p) |
la fourniture des services de conseil par le conseiller social en soutien au personnel de la BCE, dont la protection est garantie conformément à l’article 25, paragraphe 1, point h, du règlement (UE) 2018/1725. |
Les catégories de données à caractère personnel auxquelles peuvent s'appliquer les limitations visées au paragraphe 1 sont précisées dans les annexes I à XIV de la présente décision.
2. Le responsable du traitement ne peut appliquer une limitation que si, sur la base d’une évaluation au cas par cas, il conclut que la limitation:
|
a) |
est nécessaire et proportionnée compte tenu des risques pour les droits et libertés de la personne concernée; et |
|
b) |
respecte l’essence des droits et libertés fondamentaux dans une société démocratique. |
3. Le responsable du traitement documente son évaluation dans une note d’évaluation interne précisant la base juridique, les motifs de la limitation, les droits des personnes concernées visés par la limitation, les personnes concernées, la nécessité et la proportionnalité de la limitation et la durée probable de la limitation.
4. Toute décision de limiter les droits d’une personne concernée conformément au paragraphe 1, qui doit être prise par le responsable du traitement, est établie au niveau du responsable ou du responsable adjoint du service dans lequel l’opération principale de traitement des données à caractère personnel est effectuée.
Article 4
Fourniture d’informations générales sur les limitations
Le responsable du traitement fournit des informations générales concernant la limitation potentielle des droits des personnes concernées comme suit:
|
a) |
le responsable du traitement précise les droits susceptibles de faire l’objet d'une limitation, les motifs de la limitation et sa durée potentielle; |
|
b) |
le responsable du traitement inclut les informations visées au point a) dans ses avis relatifs à la protection des données, ses déclarations de confidentialité et son registre des activités de traitement visé à l’article 31 du règlement (UE) 2018/1725. |
Article 5
Limitation du droit d’accès des personnes concernées, du droit de rectification, du droit à l’effacement ou à la limitation du traitement
1. Lorsque le responsable du traitement limite, en tout ou en partie, le droit d’accès, le droit de rectification, le droit à l’effacement ou le droit à la limitation du traitement visés respectivement aux articles 17 et 18, à l’article 19, paragraphe 1, et à l’article 20, paragraphe 1, du règlement (UE) 2018/1725, il informe la personne concernée, dans le délai visé à l’article 11, paragraphe 5, de la décision (UE) 2020/655 (BCE/2020/28), dans sa réponse écrite à la demande, de la limitation appliquée, des principaux motifs de la limitation, de la possibilité d’introduire une réclamation auprès du contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
2. Le responsable du traitement conserve la note d’évaluation interne visée à l’article 3, paragraphe 3, et, le cas échéant, les documents contenant les éléments factuels et juridiques sous-jacents, et les met à la disposition du délégué à la protection des données et du contrôleur européen de la protection des données sur demande.
3. Le responsable du traitement peut différer, omettre ou refuser de communiquer des informations relatives aux motifs de la limitation visée au paragraphe 1 aussi longtemps que cette fourniture d’informations porterait atteinte à la finalité de la limitation. Dès que le responsable du traitement estime que la fourniture des informations ne porte plus atteinte à la finalité de la limitation, il les communique à la personne concernée.
Article 6
Durée des limitations
1. Le responsable du traitement lève une limitation dès que les circonstances qui l’ont justifiée cessent d'exister.
2. Lorsque le contrôleur lève une limitation conformément au paragraphe 1, il est tenu, sans délai:
|
a) |
dans la mesure où il ne l’a pas déjà fait, d'informer la personne concernée des principales raisons ayant motivé l’application d’une limitation; |
|
b) |
d'informer la personne concernée de son droit d’introduire une réclamation auprès du contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
c) |
d'accorder à la personne concernée le droit qui faisait l’objet de la limitation qui a été levée. |
3. Le responsable du traitement procède tous les six mois à une réévaluation de la nécessité de maintenir une limitation appliquée en vertu de la présente décision et la documente dans une note d’évaluation interne.
Article 7
Garanties
La BCE applique les garanties organisationnelles et techniques prévues à l’annexe XV pour prévenir les abus ou les accès ou transferts illicites.
Article 8
Réexamen par le délégué à la protection des données
1. Lorsque le responsable du traitement limite l’application des droits d’une personne concernée, il y associe en permanence le délégué à la protection des données. En particulier, les mesures suivantes sont applicables:
|
a) |
le responsable du traitement consulte le délégué à la protection des données dans les meilleurs délais; |
|
b) |
à la demande du délégué à la protection des données, le responsable du traitement lui donne accès à tout document contenant des éléments factuels et juridiques sous-jacents, y compris la note d’évaluation interne visée à l’article 3, paragraphe 3; |
|
c) |
le responsable du traitement documente la manière dont le délégué à la protection des données a été associé, y compris les informations pertinentes qui ont été partagées, en particulier la date de la première consultation visée au point a); |
|
d) |
le délégué à la protection des données peut demander au responsable du traitement de procéder à un réexamen de la limitation; |
|
e) |
le responsable du traitement informe le délégué à la protection des données, par écrit, du résultat du réexamen demandé dans les meilleurs délais et, en tout état de cause, avant l’application de toute limitation. |
2. Le responsable du traitement informe le délégué à la protection des données du réexamen de la limitation conformément à l’article 6, paragraphe 3, ou de sa levée.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Francfort-sur-le-Main, le 22 novembre 2022.
La présidente de la BCE
Christine LAGARDE
(1) JO L 295 du 21.11.2018, p. 39.
(2) Décision (UE) 2020/655 de la Banque centrale européenne du 5 mai 2020 portant adoption de dispositions d’application en ce qui concerne la protection des données à la Banque centrale européenne et abrogeant la décision BCE/2007/1 (BCE/2020/28) (JO L 152 du 15.5.2020, p. 13).
(3) La circulaire administrative 01/2006 a été adoptée le 21 mars 2006 et peut être consultée sur le site Internet de la BCE.
(4) Décision (UE) 2016/456 de la Banque centrale européenne du 4 mars 2016 relative aux conditions et modalités des enquêtes effectuées par l’Office européen de lutte antifraude au sein de la Banque centrale européenne en matière de lutte contre la fraude, la corruption et toute autre activité illégale portant atteinte aux intérêts financiers de l'Union (BCE/2016/3) (JO L 79 du 30.3.2016, p. 34).
(5) Décision (UE) 2016/1162 de la Banque centrale européenne du 30 juin 2016 sur la divulgation d’informations confidentielles dans le cadre d’enquêtes pénales (BCE/2016/19) (JO L 192 du 16.7.2016, p. 73).
(6) Règlement (UE) n° 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63).
(7) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
ANNEXE I
Évaluation et signalement des manquements potentiels aux obligations professionnelles et, si nécessaire, enquête et suivi ultérieurs
La limitation visée à l’article 3, paragraphe 1, point a), de la présente décision peut être appliquée aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données de localisation; |
|
g) |
données relatives aux biens ou services fournis; |
|
h) |
données relatives aux activités extérieures; |
|
i) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
j) |
toute autre donnée relative à l’évaluation et au signalement de manquements potentiels aux obligations professionnelles et, si nécessaire, enquête et suivi ultérieurs. |
ANNEXE II
Procédures formelles et/ou informelles relatives à la dignité au travail, y compris l’examen des cas pouvant aboutir à telles procédures, comme prévu dans la section 0.5 des règles applicables au personnel de la BCE
La limitation visée à l’article 3, paragraphe 1, point b), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données de localisation; |
|
g) |
données relatives aux biens ou services fournis; |
|
h) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
i) |
toute autre donnée relative aux procédures formelles et/ou informelles relatives à la dignité au travail, y compris l’examen des cas pouvant aboutir à de telles procédures, comme prévu dans la section 0.5 des règles applicables au personnel de la BCE. |
ANNEXE III
Exercice des fonctions de la DG/RH en vertu du cadre du droit du travail à la BCE
La limitation visée à l’article 3, paragraphe 1, point c), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données de localisation; |
|
g) |
données relatives aux biens ou services fournis; |
|
h) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
i) |
toute autre donnée figurant dans des examens de cas individuels ou en rapport avec ceux-ci, notamment ceux susceptibles d'aboutir à l'adoption d'une décision faisant grief à un membre du personnel de la BCE, ainsi que l’examen et le suivi des recours internes introduits par tout membre du personnel de la BCE; |
|
j) |
toute autre donnée relative aux procédures de sélection. |
ANNEXE IV
Examen et suivi des recours internes
La limitation visée à l’article 3, paragraphe 1, point d), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données de localisation; |
|
g) |
données relatives aux biens ou services fournis; |
|
h) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
i) |
toute autre donnée figurant dans des examens de cas individuels ou en rapport avec ceux-ci, notamment ceux susceptibles d'aboutir à l'adoption d'une décision faisant grief à un membre du personnel de la BCE, ainsi que l’examen et le suivi des recours internes introduits par tout membre du personnel de la BCE. |
ANNEXE V
Signalement de toute activité illégale ou de tout manquement à des obligations professionnelles effectué par tout moyen, notamment l’outil de lancement d’alerte de la BCE, ou l'évaluation par le bureau de conformité et de gouvernance des demandes de protection des lanceurs d’alerte ou des témoins
La limitation visée à l’article 3, paragraphe 1, point e), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données de localisation; |
|
g) |
données relatives aux biens ou services fournis; |
|
h) |
données relatives aux activités extérieures; |
|
i) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
j) |
toute autre donnée relative à toute activité illégale présumée ou violation présumée d’obligations professionnelles, ou à toute demande de protection de lanceurs d’alerte ou de témoins. |
ANNEXE VI
Activités du CGO en vertu des règles applicables au personnel de la BCE
La limitation visée à l’article 3, paragraphe 1, point f), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux activités extérieures; |
|
g) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
h) |
toute autre donnée relative à des activités signalées au CGO ou instruites par celui-ci. |
ANNEXE VII
Audits effectués par la direction de l’audit interne et activités d’enquête ou enquêtes administratives internes
La limitation visée à l’article 3, paragraphe 1, point g), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux activités extérieures; |
|
g) |
données de localisation; |
|
h) |
données relatives aux biens ou services fournis; |
|
i) |
données sociales et comportementales et autres types de données spécifiques à l’opération de traitement; |
|
j) |
informations relatives aux procédures administratives ou à toute autre enquête; |
|
k) |
données relatives aux échanges électroniques; |
|
l) |
données de vidéosurveillance; |
|
m) |
enregistrements audio; |
|
n) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
o) |
données relatives aux procédures pénales, à toute sanction ou autre pénalité administrative; |
|
p) |
toute autre donnée relative aux audits effectués par la direction de l’audit interne et toute activité d'enquête ou toute enquête administrative interne. |
ANNEXE VIII
Exercice des fonctions de la BCE en vertu de la décision (UE) 2016/456 (BCE/2016/3)
La limitation visée à l’article 3, paragraphe 1, point h), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires ou indemnités, ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux activités extérieures; |
|
g) |
données de localisation; |
|
h) |
données relatives aux biens ou services fournis; |
|
i) |
données relatives aux échanges électroniques; |
|
j) |
données de vidéosurveillance; |
|
k) |
enregistrements audio; |
|
l) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
m) |
toute autre donnée relative à l’exercice des fonctions de la BCE en vertu de la décision (UE) 2016/456 (BCE/2016/3). |
ANNEXE IX
Enquêtes menées par le délégué à la protection des données en vertu de l’article 4, point b), de la décision (UE) 2020/655 (BCE/2020/28)
La limitation visée à l’article 3, paragraphe 1, point i), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires ou indemnités, ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux activités extérieures; |
|
g) |
localisation des données; |
|
h) |
données relatives aux biens ou services fournis; |
|
i) |
données relatives aux échanges électroniques; |
|
j) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
k) |
toute autre donnée relative à une enquête menée par le délégué à la protection des données en vertu de l’article 4, point b), de la décision (UE) 2020/655 (BCE/2020/28). |
ANNEXE X
Enquêtes visant à garantir la sécurité physique des personnes, des locaux et des biens à la BCE, à recueillir des renseignements sur les menaces et à analyser les incidents de sécurité
La limitation visée à l’article 3, paragraphe 1, point j), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données de localisation; |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux échanges électroniques; |
|
g) |
données de vidéosurveillance; |
|
h) |
enregistrements audio; |
|
i) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
j) |
données relatives aux affaires pénales en cours ou aux casiers judiciaires; |
|
k) |
toute autre donnée concernant les enquêtes visant à garantir la sécurité physique des personnes, des locaux et des biens à la BCE, et à recueillir des renseignements sur les menaces et des analyses d'incidents de sécurité. |
ANNEXE XI
Procédures judiciaires
La limitation visée à l’article 3, paragraphe 1, point k), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux activités extérieures; |
|
g) |
localisation des données; |
|
h) |
données relatives aux échanges électroniques; |
|
i) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
j) |
toute autre donnée relative à une procédure judiciaire. |
ANNEXE XII
Coopération entre la BCE et les autorités nationales d’enquête pénale, le Parquet européen et les organes de l’UE exerçant une fonction de supervision, de surveillance ou d’audit à laquelle la BCE est soumise
La limitation visée à l’article 3, paragraphe 1, points l) à n), de la présente décision peut s'appliquer à toutes les catégories de données à caractère personnel mentionnées aux annexes I à XI ainsi qu'aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données d’identification; |
|
b) |
données de contact; |
|
c) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
d) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
e) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
f) |
données relatives aux activités extérieures; |
|
g) |
données de localisation; |
|
h) |
données relatives aux biens ou services fournis; |
|
i) |
données de vidéosurveillance; |
|
j) |
données relatives aux échanges électroniques; |
|
k) |
enregistrements audio; |
|
l) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
m) |
informations relatives aux procédures administratives ou à toute autre investigation; |
|
n) |
données relatives aux procédures pénales, à toute sanction, notamment administrative; |
|
o) |
toute autre donnée relative à la coopération entre la BCE et les autorités nationales responsables des enquêtes pénales, le Parquet européen et les organes de l’UE exerçant une mission de supervision, de surveillance ou d’audit à laquelle la BCE est soumise. |
ANNEXE XIII
Accomplissement des missions du médiateur
La limitation visée à l’article 3, paragraphe 1, point o), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données de contact; |
|
b) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
c) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
d) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
e) |
données sociales et comportementales et autres types de données spécifiques à l’opération de traitement; |
|
f) |
informations relatives aux procédures administratives ou à toute autre investigation réglementaire; |
|
g) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
h) |
toute autre donnée relative à l’accomplissement des missions du médiateur. |
ANNEXE XIV
Fourniture des services de conseil par le conseiller social
La limitation visée à l’article 3, paragraphe 1, point p), de la présente décision peut s'appliquer aux catégories de données mentionnées dans les registres pertinents des activités de traitement, en particulier aux catégories suivantes de données à caractère personnel:
|
a) |
données de contact; |
|
b) |
données professionnelles, y compris les données relatives aux études, à la formation et à l’emploi; |
|
c) |
données financières (par exemple, informations sur les salaires, les indemnités ou les opérations d'ordre privé); |
|
d) |
données relatives à la famille, au mode de vie et à la situation sociale; |
|
e) |
données sociales et comportementales et autres types de données spécifiques à l’opération de traitement; |
|
f) |
informations relatives aux procédures administratives ou à toute autre investigation réglementaire; |
|
g) |
données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques ou données biométriques; données concernant la santé; ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; |
|
h) |
toute autre donnée relative à la fourniture des services de conseil par le conseiller social. |
ANNEXE XV
Les garanties organisationnelles et techniques mises en place au sein de la BCE pour prévenir les abus ou le traitement illicite de données à caractère personnel comprennent:
|
a) |
en ce qui concerne les personnes:
|
|
b) |
en ce qui concerne les procédures:
|
|
c) |
en ce qui concerne la technologie:
|