|
2.9.2020 |
FR |
Journal officiel de l’Union européenne |
L 287/1 |
DÉCISION DU COLLÈGE 2020-04
du 15 juillet 2020
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par Eurojust
LE COLLÈGE D’EUROJUST,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1) (ci-après le «règlement»), et notamment son article 25,
vu l’avis du Contrôleur européen de la protection des données (CEPD) du 25 juin 2020,
considérant ce qui suit:
|
(1) |
Eurojust est habilitée à mener des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension, conformément au statut des fonctionnaires de l’Union européenne et au régime applicable aux autres agents de l’Union européenne, définis dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (le «statut») (2), et à la décision d’Eurojust du 23 septembre 2013 sur les dispositions générales d’exécution concernant la conduite des enquêtes administratives et des procédures disciplinaires. Si nécessaire, elle notifie également les cas à l’OLAF conformément à la décision du collège 2020-03 du 15 juillet 2020 relative aux conditions et modalités des enquêtes internes à Eurojust en matière de lutte contre la fraude, la corruption et toute activité illégale préjudiciable aux intérêts de l’Union. |
|
(2) |
Les membres du personnel d’Eurojust sont tenus de signaler toute activité potentiellement illégale, y compris la fraude et la corruption, qui portent atteinte aux intérêts de l’Union. Les membres du personnel sont également tenus de signaler une conduite en rapport avec l’exercice de fonctions professionnelles pouvant constituer un manquement grave aux obligations des fonctionnaires de l’Union. Ce principe est régi par la décision du collège 2019-02 du 29 janvier 2019 concernant les lignes directrices d’Eurojust relatives aux lanceurs d’alerte. |
|
(3) |
Eurojust a mis en place une politique visant à prévenir et à traiter de manière efficace les cas réels ou potentiels de harcèlement moral ou sexuel sur le lieu de travail, conformément à sa décision du 31 janvier 2012 portant sur la politique d’Eurojust relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et sexuel. La décision établit une procédure informelle dans laquelle la victime présumée du harcèlement peut contacter les conseillers «confidentiels» d’Eurojust. |
|
(4) |
Eurojust peut également mener des enquêtes sur d’éventuelles violations des règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne («ICUE») en vertu de la décision du collège 2016-4 du 22 mars 2016 adoptant les règles de sécurité révisées d’Eurojust, telle que modifiée par la décision du collège 2016-24 du 13 décembre 2016. |
|
(5) |
Eurojust fait l’objet d’audits à la fois internes et externes concernant ses activités. |
|
(6) |
Dans le cadre de ces enquêtes administratives, audits et enquêtes, Eurojust coopère avec d’autres institutions, organes et organismes de l’Union. |
|
(7) |
Eurojust peut coopérer avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou de sa propre initiative. |
|
(8) |
Eurojust peut également coopérer avec les pouvoirs publics des États membres de l’Union, à la demande de ceux-ci ou de sa propre initiative. |
|
(9) |
Eurojust est impliquée dans des affaires portées devant la Cour de justice de l’Union européenne soit pour saisir la Cour, soit pour défendre une décision d’Eurojust attaquée ou pour intervenir dans des affaires relatives à ses missions. Dans ce contexte, Eurojust pourrait devoir préserver la confidentialité des données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes. |
|
(10) |
Pour remplir ses missions, Eurojust collecte et traite les informations et plusieurs catégories de données à caractère personnel, y compris les données d’identification de personnes physiques (par exemple nom, prénom, date de naissance, etc.), les coordonnées (par exemple adresse du domicile, numéro de téléphone, adresse électronique, etc.), les fonctions et tâches professionnelles, les informations sur la conduite et les performances professionnelles et privées (les données comportementales qui peuvent être pertinentes et se limitent uniquement aux fins des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension en cours, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, du traitement des cas de dénonciation des dysfonctionnements et de procédures similaires), ainsi que les données financières. Eurojust agit en qualité de responsable du traitement des données. |
|
(11) |
En vertu du règlement, Eurojust est donc tenue de fournir des informations aux personnes concernées en ce qui concerne ces activités de traitement et de respecter les droits des personnes concernées. |
|
(12) |
Eurojust pourrait devoir concilier ces droits avec les objectifs des enquêtes administratives, des audits, des enquêtes et des procédures judiciaires. Il peut également s’avérer nécessaire de mettre en balance les droits d’une personne concernée avec les libertés et droits fondamentaux d’autres personnes concernées. À cette fin, l’article 25 du règlement (UE) 2018/1725 prévoit, dans des conditions strictes, la possibilité pour Eurojust de limiter l’application des articles 14 à 22, 35 et 36 du règlement, ainsi que de son article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20. Il est nécessaire d’adopter des règles internes en vertu desquelles Eurojust est autorisée à limiter ces droits, sauf si des limitations sont prévues dans un acte juridique adopté sur la base des traités. |
|
(13) |
Eurojust pourrait, par exemple, devoir limiter les informations qu’elle fournit à une personne concernée sur le traitement de ses données à caractère personnel pendant la phase d’évaluation préliminaire d’une enquête administrative ou pendant l’enquête elle-même, préalablement à un classement éventuel de l’affaire ou à la phase prédisciplinaire. Dans certaines circonstances, la communication de ces informations pourrait sérieusement compromettre la capacité d’Eurojust de mener l’enquête de manière efficace, lorsque, par exemple, la personne concernée risque de détruire des preuves ou de tenter d’influencer des témoins potentiels avant que ceux-ci ne soient interrogés. En outre, Eurojust pourrait devoir protéger les droits et libertés des témoins ainsi que ceux des autres personnes concernées. |
|
(14) |
Il pourrait s’avérer nécessaire de protéger l’anonymat d’un témoin ou d’un lanceur d’alerte qui a demandé à ne pas être identifié. En pareil cas, Eurojust peut décider de limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de ces personnes, afin de protéger leurs droits et libertés. |
|
(15) |
Il pourrait s’avérer nécessaire de protéger les informations confidentielles concernant un membre du personnel qui a contacté les conseillers confidentiels d’Eurojust dans le cadre d’une procédure relative au harcèlement. Dans ce cas, Eurojust pourrait devoir limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de la victime présumée, du harceleur présumé et des autres personnes concernées, afin de protéger les droits et libertés de toutes les personnes concernées. |
|
(16) |
Les limitations appliquées par Eurojust doivent toujours respecter l’essence des libertés et droits fondamentaux et constituer une mesure strictement nécessaire et proportionnée dans une société démocratique. Eurojust doit justifier ces limitations. |
|
(17) |
En application du principe de responsabilité, Eurojust doit tenir un registre relatif à son application des limitations. |
|
(18) |
Lorsqu’elle traite des données à caractère personnel échangées avec d’autres organisations dans le cadre de ses missions, Eurojust et ces organisations doivent se consulter sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité de ces limitations, à moins que cela ne compromette les activités d’Eurojust. |
|
(19) |
L’article 25, paragraphe 6, du règlement impose au responsable du traitement d’informer les personnes concernées des principales raisons qui motivent l’application de la limitation et de leur droit de saisir le CEPD. |
|
(20) |
Conformément à l’article 25, paragraphe 8, du règlement, Eurojust est autorisée à différer, à omettre ou à refuser la communication d’informations sur les motifs de l’application d’une limitation à la personne concernée si cela prive d’effet, de quelque manière que ce soit, la limitation imposée. Eurojust doit évaluer au cas par cas si la communication des informations prive d’effet la limitation imposée. |
|
(21) |
Eurojust doit lever la limitation dès que les conditions qui la justifient ne s’appliquent plus et évaluer régulièrement ces conditions. |
|
(22) |
Afin de garantir la plus grande protection des droits et libertés des personnes concernées et conformément à l’article 44, paragraphe 1, du règlement, le délégué à la protection des données (DPD) doit être informé en temps utile de toute limitation qui peut être appliquée et vérifier sa conformité avec la présente décision. |
|
(23) |
L’article 16, paragraphe 5, et l’article 17, paragraphe 4, du règlement prévoient des exceptions au droit à l’information et au droit d’accès des personnes concernées. Si ces exceptions s’appliquent, Eurojust ne doit pas appliquer une limitation en vertu de la présente décision, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles Eurojust peut limiter l’application des articles 4, 14 à 22, 35 et 36, conformément à l’article 25 du règlement.
2. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications électroniques.
3. La présente décision s’applique aux opérations de traitement de données à caractère personnel effectuées par Eurojust aux fins suivantes: mener des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (CERT-UE, par exemple).
4. Les catégories de données à caractère personnel couvertes par la présente décision comprennent les données d’identification, les coordonnées, les données comportementales et les données financières.
5. Eurojust, en sa qualité de responsable du traitement, est représentée par le directeur administratif.
Article 2
Limitations
1. Eurojust peut limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20:
|
a) |
conformément à l’article 25, paragraphe 1, points b), c), f), g) et h), du règlement, lorsqu’elle mène des enquêtes administratives, des procédures prédisciplinaires et disciplinaires ou des procédures de suspension en vertu de l’article 86 et de l’annexe IX du statut et de la décision d’Eurojust du 23 septembre 2013 sur les dispositions générales d’exécution concernant la conduite des enquêtes administratives et des procédures disciplinaires, et lorsqu’elle notifie les cas à l’OLAF; |
|
b) |
conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle fait en sorte que les membres du personnel d’Eurojust puissent, à titre confidentiel, communiquer des faits lorsqu’ils estiment qu’il existe de graves irrégularités, comme prévu dans la décision du collège 2019-02 du 29 janvier 2019 concernant les lignes directrices d’Eurojust relatives aux lanceurs d’alerte; |
|
c) |
conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle veille à ce que les membres du personnel d’Eurojust puissent informer des conseillers confidentiels dans le cadre d’une procédure relative au harcèlement, telle que définie dans sa décision du 31 janvier 2012 portant sur la politique d’Eurojust relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et sexuel; |
|
d) |
conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle mène des audits internes portant sur les activités ou les départements d’Eurojust; |
|
e) |
conformément à l’article 25, paragraphe 1, points c), d), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec d’autres institutions, organes et organismes de l’Union dans le cadre des activités visées aux points a) à d) du présent paragraphe et conformément aux dispositions des accords de niveau de service, des protocoles d’accord et des accords de coopération; |
|
f) |
conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou à de sa propre initiative; |
|
g) |
conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance et la coopération mutuelles avec les pouvoirs publics des États membres de l’Union, à la demande de ceux-ci ou de sa propre initiative; |
|
h) |
conformément à l’article 25, paragraphe 1, point e), du règlement, lorsqu’elle traite les données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes dans le cadre des procédures devant la Cour de justice de l’Union européenne; |
|
i) |
conformément à l’article 25, paragraphe 1, point i), du règlement, lorsque le traitement des données à caractère personnel est nécessaire à l’exécution des demandes de droit civil. |
2. Toute limitation doit respecter l’essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique.
3. Une évaluation de la nécessité et de la proportionnalité est effectuée au cas par cas avant l’application des limitations. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre leur objectif.
4. À des fins de responsabilité, Eurojust dépose un dossier décrivant les raisons des limitations appliquées, les motifs parmi ceux énumérés au paragraphe 1 qui s’appliquent et le résultat de l’évaluation de la nécessité et de la proportionnalité. Ces dossiers font partie d’un registre, qui est mis à la disposition du CEPD sur demande. Eurojust prépare des rapports périodiques sur l’application de l’article 25 du règlement.
5. Lorsqu’elle traite des données à caractère personnel reçues d’autres organisations dans le cadre de ses missions, Eurojust consulte lesdites organisations sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité des limitations concernées, à moins que cela ne compromette les activités d’Eurojust.
Article 3
Risques pour les droits et libertés des personnes concernées
1. Les évaluations des risques pour les droits et libertés des personnes concernées de l’imposition des limitations et les informations relatives à la durée d’application de ces limitations sont enregistrées dans le registre des activités de traitement tenu par Eurojust en vertu de l’article 31 du règlement. Elles sont également enregistrées dans les analyses d’impact relatives à la protection des données concernant ces limitations effectuées en vertu de l’article 39 du règlement.
2. Lorsqu’Eurojust évalue la nécessité et la proportionnalité d’une limitation, elle tient compte des risques potentiels pour les droits et libertés de la personne concernée. Lorsqu’Eurojust envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures d’Eurojust, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais sans s’y limiter, les risques pour la réputation ainsi que les risques pour les droits à la défense et le droit d’être entendu.
Article 4
Garanties et durées de conservation
1. Eurojust met en œuvre des garanties afin de prévenir les abus et l’accès ou le transfert illicites des données à caractère personnel pour lesquelles des limitations s’appliquent ou pourraient s’appliquer. Ces garanties comprennent des mesures techniques et organisationnelles et sont détaillées, le cas échéant, dans les décisions, procédures et dispositions d’application d’Eurojust. Les garanties comprennent:
|
a) |
une définition claire des rôles, des responsabilités et des étapes de la procédure; |
|
b) |
le stockage de toutes les données électroniques dans une application informatique sécurisée qui empêche l’accès ou le transfert illicites ou accidentels de données électroniques à des personnes non autorisées, conformément aux normes de sécurité d’Eurojust, ainsi que dans des dossiers électroniques spécifiques accessibles au seul personnel habilité. Les niveaux d’accès appropriés sont accordés individuellement; |
|
c) |
les documents en version papier sont conservés dans des armoires sécurisées et accessibles au seul personnel habilité; |
|
d) |
un suivi approprié des limitations et un réexamen périodique de leur application; |
|
e) |
toutes les personnes ayant accès aux données sont tenues de respecter l’obligation de confidentialité. |
Les réexamens visés au point d) sont effectués au moins tous les six mois.
2. Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister.
3. La durée de conservation des données à caractère personnel visées à l’article 1er, paragraphe 4, n’est pas plus longue que nécessaire et elle est appropriée aux finalités pour lesquelles ces données sont traitées. Les données à caractère personnel sont conservées conformément aux règles de conservation en vigueur d’Eurojust fixées à l’article 18 et à l’annexe du règlement intérieur d’Eurojust relatif au traitement et à la protection de données à caractère personnel (3), à définir dans les registres concernant la protection des données tenus en vertu de l’article 31 du règlement. À la fin de la durée de conservation, les données à caractère personnel sont supprimées, rendues anonymes ou renvoyées dans des archives conformément à l’article 13 du règlement.
Article 5
Participation du délégué à la protection des données
1. Le DPD d’Eurojust est informé dans les meilleurs délais dès que les droits des personnes concernées sont limités conformément à la présente décision. Il ou elle a accès aux dossiers correspondants et à tout document concernant le contexte factuel ou juridique.
2. Le DPD d’Eurojust peut demander un examen de l’application d’une limitation. Eurojust informe son délégué par écrit du résultat de l’examen.
3. Eurojust documente la participation du DPD à l’application des limitations, y compris la nature des informations qui sont échangées avec lui.
Article 6
Information des personnes concernées sur les limitations de leurs droits
1. Eurojust inclut dans les avis de protection des données publiés sur son site web/intranet une section fournissant des informations générales aux personnes concernées sur les limitations potentielles des droits des personnes concernées, conformément à l’article 2, paragraphe 1. Ces informations portent sur les droits susceptibles d’être limités, les motifs pour lesquels des limitations peuvent s’appliquer, ainsi que leur durée potentielle.
2. Eurojust informe les personnes concernées individuellement de toute limitation en cours ou future de leurs droits par écrit et dans les meilleurs délais. Eurojust informe la personne concernée des principales raisons qui motivent l’application de la limitation, de son droit de consulter le DPD en vue de contester la limitation et de son droit de saisir le CEPD.
3. Eurojust peut différer, omettre ou refuser la communication d’informations sur les motifs d’une limitation et le droit de saisir le CEPD dès lors que cela priverait d’effet la limitation. L’évaluation visant à déterminer si cela est justifié se fait au cas par cas. Dès lors que cela ne prive plus d’effet la limitation, Eurojust communique les informations à la personne concernée.
Article 7
Communication à la personne concernée d’une violation de données à caractère personnel
1. Lorsqu’Eurojust a l’obligation de communiquer une violation de données en vertu de l’article 35, paragraphe 1, du règlement, elle peut, dans des cas exceptionnels, limiter cette communication en tout ou en partie. Elle documente dans une note les raisons de la limitation, son motif juridique en vertu de l’article 2 et une évaluation de sa nécessité et de sa proportionnalité. La note est communiquée au CEPD au moment de la notification de la violation de données à caractère personnel.
2. Lorsque les raisons de la limitation ne s’appliquent plus, Eurojust informe la personne concernée de la violation de données à caractère personnel et des principales raisons de la limitation, ainsi que de son droit de saisir le CEPD.
Article 8
Confidentialité des communications électroniques
1. Dans des circonstances exceptionnelles, Eurojust peut limiter le droit à la confidentialité des communications électroniques en vertu de l’article 36 du règlement. Ces limitations sont conformes à la directive 2002/58/CE du Parlement européen et du Conseil (4).
2. Lorsqu’Eurojust restreint le droit à la confidentialité des communications électroniques, elle informe la personne concernée, dans sa réponse à une demande de la personne concernée, des principales raisons qui motivent l’application de la limitation et de son droit de saisir le CEPD.
3. Eurojust peut différer, omettre ou refuser la communication d’informations sur les motifs d’une limitation et le droit de saisir le CEPD dès lors que cela priverait d’effet la limitation. L’évaluation visant à déterminer si cela est justifié se fait au cas par cas.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à La Haye, le 15 juillet 2020.
Pour le collège d’Eurojust
Ladislav HAMRAN
Président d’Eurojust
(1) JO L 295 du 21.11.2018, p. 39.
(2) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).
(3) Règlement intérieur d’Eurojust relatif au traitement et à la protection de données à caractère personnel (JO L 50 du 24.2.2020, p. 10).
(4) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).