ISSN 1977-0693
Journal officiel
de l’Union européenne
L 301
Édition de langue française
Législation
62e année
22 novembre 2019
|
ISSN 1977-0693 |
||
|
Journal officiel de l’Union européenne |
L 301 |
|
|
|
||
|
Édition de langue française |
Législation |
62e année |
|
Sommaire |
|
II Actes non législatifs |
page |
|
|
|
ACCORDS INTERNATIONAUX |
|
|
|
* |
||
|
|
|
RÈGLEMENTS |
|
|
|
* |
Règlement Délégué (UE) 2019/1935 de la Commission du 13 mai 2019 portant modification de la directive (UE) 2016/97 du Parlement européen et du Conseil en ce qui concerne les normes techniques de réglementation adaptant les montants de base en euros pour l’assurance de responsabilité civile professionnelle et pour la capacité financière des intermédiaires d’assurance et de réassurance ( 1 ) |
|
|
|
|
RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE |
|
|
|
* |
||
|
|
* |
||
|
|
* |
|
|
|
|
|
(1) Texte présentant de l’intérêt pour l’EEE. |
|
FR |
Les actes dont les titres sont imprimés en caractères maigres sont des actes de gestion courante pris dans le cadre de la politique agricole et ayant généralement une durée de validité limitée. Les actes dont les titres sont imprimés en caractères gras et précédés d'un astérisque sont tous les autres actes. |
II Actes non législatifs
ACCORDS INTERNATIONAUX
|
22.11.2019 |
FR |
Journal officiel de l’Union européenne |
L 301/1 |
DÉCISION (UE) 2019/1934 DU CONSEIL
du 18 mars 2019
relative à la signature, au nom de l’Union européenne et de ses États membres, du protocole à l’accord de coopération concernant un système mondial de navigation par satellite à usage civil entre la Communauté européenne et ses États membres, d’une part, et la République de Corée, d’autre part, afin de tenir compte de l’adhésion de la République de Bulgarie, de la République de Croatie et de la Roumanie à l’Union européenne
LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 172, en liaison avec l’article 218, paragraphe 5,
vu l’acte d’adhésion de la République de Bulgarie et de la Roumanie (1) et l’acte d’adhésion de la République de Croatie (2), et notamment leur article 6, paragraphe 2,
vu la proposition de la Commission européenne,
considérant ce qui suit:
|
(1) |
L’accord de coopération concernant un système mondial de navigation par satellite à usage civil entre la Communauté européenne et ses États membres, d’une part, et la République de Corée, d’autre part (3) (ci-après dénommé «accord») a été signé le 9 septembre 2006 (4) et est entré en vigueur le 1er juillet 2016 (5). |
|
(2) |
La Bulgarie et la Roumanie sont devenues des États membres de l’Union le 1er janvier 2007, la Croatie le 1er juillet 2013. |
|
(3) |
Conformément à l’article 6, paragraphe 2, de l’acte d’adhésion de la Bulgarie et de la Roumanie, ainsi que de l’acte d’adhésion de la Croatie, l’adhésion de ces pays à l’accord doit être approuvée par la conclusion d’un protocole à cet accord (ci-après dénommé «protocole»). Conformément à l’article 6, paragraphe 2, de ces actes d’adhésion, il convient d’appliquer à une telle adhésion une procédure simplifiée par laquelle un protocole doit être conclu par le Conseil, statuant à l’unanimité au nom des États membres, et par le pays tiers concerné. |
|
(4) |
Le 23 octobre 2006 et le 14 septembre 2012, le Conseil a autorisé la Commission à ouvrir des négociations avec le pays tiers concerné afin de conclure les protocoles aux accords internationaux conclus par l’Union et ses États membres. |
|
(5) |
Les négociations avec la République de Corée ont abouti et ont été conclues par un échange de notes verbales. |
|
(6) |
Il convient de signer le protocole, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
La signature, au nom de l’Union et de ses États membres, du protocole à l’accord de coopération concernant un système mondial de navigation par satellite à usage civil entre la Communauté européenne et ses États membres, d’une part, et la République de Corée, d’autre part, afin de tenir compte de l’adhésion de la République de Bulgarie, de la République de Croatie et de la Roumanie à l’Union européenne, est autorisée, sous réserve de la conclusion dudit protocole (6).
Article 2
Le président du Conseil est autorisé à désigner la ou les personnes habilitées à signer le protocole au nom de l’Union et de ses États membres.
Article 3
La présente décision entre en vigueur le jour de son adoption.
Fait à Bruxelles, le 18 mars 2019.
Par le Conseil
Le président
P. DAEA
(1) Acte relatif aux conditions d’adhésion à l’Union européenne de la République de Bulgarie et de la Roumanie et aux adaptations des traités sur lesquels est fondée l’Union européenne (JO L 157 du 21.6.2005, p. 203).
(2) Acte relatif aux conditions d’adhésion à l’Union européenne de la République de Croatie et aux adaptations du traité sur l’Union européenne, du traité sur le fonctionnement de l’Union européenne et du traité instituant la Communauté européenne de l’énergie atomique (JO L 112 du 24.4.2012, p. 21).
(3) JO L 288 du 19.10.2006, p. 31.
(4) Décision 2006/700/CE du Conseil du 1er septembre 2006 relative à la signature, au nom de la Communauté, d’un accord de coopération concernant un système mondial de navigation par satellite (GNSS) à usage civil entre la Communauté européenne et ses États membres, d’une part, et la République de Corée, d’autre part (JO L 288 du 19.10.2006, p. 30).
(5) Décision (UE) 2016/944 du Conseil du 6 juin 2016 relative à la conclusion d’un accord de coopération concernant un système mondial de navigation par satellite (GNSS) à usage civil entre la Communauté européenne et ses États membres, d’une part, et la République de Corée, d’autre part (JO L 157 du 15.6.2016, p. 19).
(6) Le texte du protocole sera publié avec la décision relative à sa conclusion.
RÈGLEMENTS
|
22.11.2019 |
FR |
Journal officiel de l’Union européenne |
L 301/3 |
RÈGLEMENT DÉLÉGUÉ (UE) 2019/1935 DE LA COMMISSION
du 13 mai 2019
portant modification de la directive (UE) 2016/97 du Parlement européen et du Conseil en ce qui concerne les normes techniques de réglementation adaptant les montants de base en euros pour l’assurance de responsabilité civile professionnelle et pour la capacité financière des intermédiaires d’assurance et de réassurance
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu la directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances (1), et notamment son article 10, paragraphe 7,
considérant ce qui suit:
|
(1) |
L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) est tenue de réexaminer périodiquement les montants de base pour l’assurance de responsabilité civile professionnelle et la capacité financière des intermédiaires d’assurance et de réassurance afin de tenir compte de l’évolution de l’indice européen des prix à la consommation, tel qu’il est publié par Eurostat. Au cours de la période allant du 1er janvier 2013 au 31 décembre 2017, l’indice européen des prix à la consommation fourni pour l’Union par Eurostat a augmenté de 4,03 %. Dès lors, les montants de base susmentionnés devraient être adaptés en fonction de ce pourcentage de hausse. |
|
(2) |
Il y a donc lieu de modifier la directive (UE) 2016/97 en conséquence. |
|
(3) |
Pour permettre aux États membres d’adapter les montants de base concernés dans leurs dispositions nationales et pour donner aux intermédiaires d’assurance et de réassurance suffisamment de temps pour prendre les mesures de mise en œuvre nécessaires, il convient de différer l’application du présent règlement. |
|
(4) |
Le présent règlement se fonde sur les projets de normes techniques de réglementation soumis à la Commission par l’AEAPP. |
|
(5) |
L’AEAPP a procédé à des consultations publiques ouvertes sur ces projets, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe des parties intéressées à l’assurance et la réassurance institué en application de l’article 37 du règlement (UE) no 1094/2010 du Parlement européen et du Conseil (2), |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Modification de la directive (UE) 2016/97
L’article 10 de la directive (UE) 2016/97 est modifié comme suit:
|
1) |
le paragraphe 4 est remplacé par le texte suivant:
|
|
2) |
au paragraphe 6, deuxième alinéa, le point b) est remplacé par le texte suivant:
|
Article 2
Entrée en vigueur et date d’application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. Il s’applique à partir du [Office des publications: veuillez insérer la date correspondant à 6 mois après la date d’entrée en vigueur].
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 13 mai 2019.
Par la Commission
Le président
Jean-Claude JUNCKER
(1) JO L 26 du 2.2.2016, p. 19.
(2) Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48).
RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE
|
22.11.2019 |
FR |
Journal officiel de l’Union européenne |
L 301/5 |
DÉCISION DU CONSEIL DE RÉSOLUTION UNIQUE
du 18 septembre 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre d’enquêtes administratives/de procédures disciplinaires/d’enquêtes/autres effectuées par le Conseil de résolution unique (SRB/ES/2019/32)
LE CONSEIL DE RÉSOLUTION UNIQUE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (1), et en particulier son article 42, son article 43, paragraphe 5, son article 50, paragraphe 3, son article 56, paragraphes 1 à 3, et ses articles 61, 63 et 64,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (2),
vu la consultation avec le Contrôleur européen de la protection des données,
considérant ce qui suit:
|
(1) |
Le Conseil de résolution unique (ci-après le «CRU») accomplit les tâches d’une autorité de résolution dans le cadre du mécanisme de résolution unique (ci-après le «MRU») conformément au règlement (UE) no 806/2014. Le CRU a pour mission d’assurer une résolution ordonnée des défaillances bancaires avec une incidence minimale sur l’économie réelle, le système financier et les finances publiques des États membres participants et au-delà. |
|
(2) |
Le CRU peut mener des enquêtes internes et/ou des enquêtes administratives de sa propre initiative ou à la suite de la communication d’informations confidentielles par des membres de son personnel dans le cadre de la procédure de lancement d’alertes éthiques. Le CRU peut aussi engager une procédure disciplinaire conformément à l’annexe IX du statut. |
|
(3) |
Le CRU peut, dans le cadre d’enquêtes internes et/ou d’enquêtes administratives et/ou de procédures disciplinaires, notifier des cas à l’Office d’investigation et de discipline de la Commission (IDOC) et à l’Office européen de lutte antifraude (OLAF), conformément à la décision prise par le CRU lors de sa session exécutive du 6 novembre 2015, relative aux conditions applicables aux enquêtes internes concernant la prévention de la fraude, de la corruption et de toute activité illégale portant atteinte aux intérêts de l’Union (SRB/ES/2015/01). |
|
(4) |
Le CRU, représenté ici par son responsable de la déontologie et de la conformité, respectivement le délégué à la protection des données du CRU, traite plusieurs catégories de données à caractère personnel, en particulier des données d’identification, des coordonnées, des données professionnelles, et il agit en tant que responsable du traitement. Les données à caractère personnel sont conservées dans un environnement électronique sécurisé qui empêche que des personnes qui n’ont pas besoin d’en connaître y aient accès ou que ces données leur soient transférées de manière illicite. Les données à caractère personnel traitées sont conservées conformément aux règles du CRU sur la conservation des documents. À la fin de la période de conservation, les informations relatives au dossier incluant des données à caractère personnel sont transférées vers les archives historiques ou supprimées conformément aux principes de minimisation et d’exactitude des données. |
|
(5) |
Les règles internes doivent s’appliquer à l’ensemble des opérations de traitement effectuées par le CRU dans l’exercice de ses activités aux fins de la prévention, de la détection et de la poursuite des violations, notamment, du code de déontologie du CRU et du statut, et aux fins des enquêtes en la matière. |
|
(6) |
Les règles internes doivent s’appliquer aux opérations de traitement effectuées dans le cadre d’enquêtes internes et externes, ainsi que pendant le suivi de la mise en œuvre des conclusions de ces enquêtes. Les règles internes doivent s’appliquer aux opérations de traitement qui font partie des activités associées aux fonctions du responsable de la déontologie et de la conformité du CRU et, le cas échéant, à son délégué à la protection des données. Elles doivent également inclure l’assistance et la coopération fournies par le responsable de la déontologie et de la conformité du CRU, respectivement son délégué à la protection des données, à la demande des autorités nationales et des organisations internationales en dehors de ses enquêtes administratives. |
|
(7) |
Le CRU doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et expliquer en quoi elles respectent l’essence des libertés et droits fondamentaux. |
|
(8) |
Dans ce cadre, le CRU est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit d’accès et de rectification, au droit à l’effacement, à la portabilité des données etc., tels que consacrés par le règlement (UE) 2018/1725. |
|
(9) |
Toutefois, le CRU peut être contraint de différer la communication d’informations à la personne concernée et d’autres droits de la personne concernée afin de protéger, en particulier, ses propres enquêtes, les enquêtes et les procédures d’autres autorités publiques, dont l’IDOC et l’OLAF, et les droits d’autres personnes liées à ses enquêtes, ainsi que pour protéger ses procédures disciplinaires. |
|
(10) |
Le CRU peut donc différer la communication d’informations aux fins de protéger les enquêtes et/ou les procédures disciplinaires. |
|
(11) |
Le CRU doit lever la limitation dès que les conditions qui la justifient ne s’appliquent plus. |
|
(12) |
Le CRU doit contrôler les conditions de limitation à intervalles réguliers, tous les six mois, et les réviser le cas échéant. |
|
(13) |
Le CRU doit consulter le DPD pendant les révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles internes relatives aux conditions dans lesquelles le CRU, dans le cadre d’enquêtes internes, d’enquêtes administratives et de procédures disciplinaires effectuées par son responsable de la déontologie et de la conformité, ou d’enquêtes effectuées par son délégué à la protection des données en vertu de l’article 45, paragraphe 2, du règlement (UE) 2018/1725, peut limiter l’application des droits consacrés aux articles 14 à 21, 35, ainsi qu’à l’article 4 du règlement (UE) 2018/1725, en vertu de son article 25.
2. La présente décision s’applique aux opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de mener des enquêtes internes, des enquêtes administratives et des procédures disciplinaires. En ce qui concerne les opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de lancer, de mener à bien et de clore une procédure informelle dans le cadre de la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel, une décision différente concernant la limitation des droits s’applique (pour référence: SRB/ES/2019/33).
3. Les catégories de données concernées sont les données objectives (détails administratifs, numéro de téléphone, adresse privée, communications électroniques), les données relatives au trafic (utilisation d’applications de TIC, données internet) et/ou les données subjectives (évaluations, ouverture d’enquêtes, rapports d’enquêtes préliminaires), etc.
4. Sous réserve des conditions fixées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: droits d’accès, de rectification, d’effacement et de portabilité, droit à l’information, confidentialité des communications, et principes relatifs au traitement des données pour autant qu’ils concernent un droit.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties en place pour éviter les violations de données, les fuites ou la divulgation non autorisée sont les suivantes: limitation des droits d’accès aux dossiers électroniques et à la boîte aux lettres fonctionnelle pour l’introduction de réclamations, armoires sécurisées avec des clés, et formation spécifique sur la confidentialité à l’intention des personnes qui traitent les informations.
2. Le responsable de ces opérations de traitement est le CRU, représenté ici par son responsable de la déontologie et de la conformité, respectivement son délégué à la protection des données.
3. Les données à caractère personnel collectées sont conservées conformément aux règles du CRU sur la conservation des documents. La durée de conservation respecte le principe de conservation pendant une période qui n’excède pas celle nécessaire à la réalisation de la finalité de l’opération de traitement, et, finalement, pour permettre la résolution de litiges judiciaires ou administratifs.
Article 3
Limitations
1. Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, toute limitation s’applique uniquement pour garantir:
|
— |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, |
|
— |
la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques, |
|
— |
la protection des procédures judiciaires, |
|
— |
la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière, |
|
— |
la protection de la personne concernée ou des droits et libertés d’autrui. |
2. Toute limitation est nécessaire et proportionnée dans une société démocratique et respecte l’essence des libertés et droits fondamentaux.
3. Une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des présentes règles internes. Le résultat de cette évaluation est consigné dans une note d’évaluation interne par le responsable de l’opération de traitement spécifique, afin de rendre compte, au cas par cas, des limitations considérées.
4. Les limitations sont dûment contrôlées et une révision périodique est réalisée tous les six mois.
5. Les limitations sont levées dès lors que les circonstances qui les justifient cessent d’exister.
6. Le risque pour les droits et libertés de la personne concernée est la limitation temporaire de l’exercice effectif des droits de la personne concernée, notamment à l’information, à l’effacement ou à la défense, tels que garantis par le règlement (UE) 2018/1725. Ces risques sont pris en considération dans le cadre de l’évaluation de la nécessité et de la proportionnalité mentionnée au paragraphe 3 du présent article.
Article 4
Participation du délégué à la protection des données
1. Pendant toute procédure de limitation et dans les meilleurs délais, le CRU informe son délégué à la protection des données (ci-après le «DPD») de toute limitation de l’application des droits des personnes concernées conformément à la présente décision. Il fournit un accès au dossier et à l’évaluation de la nécessité et de la proportionnalité de la limitation.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le CRU informe le DPD par écrit du résultat du réexamen demandé et du moment où la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Le CRU inclut dans les avis de protection des données publiés sur son intranet informant les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations concernant la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. En outre, le CRU informe individuellement les personnes concernées, dans les meilleurs délais et par écrit, de leurs droits concernant des limitations présentes ou futures, sans préjudice du paragraphe suivant.
3. Les personnes concernées sont informées des raisons principales qui justifient l’application d’une limitation et de leur droit de saisir le Contrôleur européen de la protection des données.
Article 6
Droit d’accès de la personne concernée
1. Lorsque les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, le CRU limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque le CRU limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, il prend les mesures suivantes:
|
a) |
il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
il consigne les raisons de la limitation, dont une évaluation de la nécessité et de la proportionnalité de la limitation; à cette fin, il indique dans le dossier en quoi l’accès nuirait à la finalité des activités d’enquête du CRU ou des limitations appliquées en vertu de l’article 2, paragraphe 3, ou porterait atteinte aux droits et libertés d’autres personnes concernées. |
La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
3. Le dossier mentionné au paragraphe 2, point b) et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande. L’article 25, paragraphe 7, du règlement (UE) 2018/1725 s’applique.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
Lorsque le CRU limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, il prend les mesures visées à l’article 6, paragraphe 2, de la présente décision, et enregistre le dossier conformément à son article 6, paragraphe 3.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel
Lorsque le CRU limite la communication d’une violation de données à caractère personnel à la personne concernée, visée à l’article 35 du règlement (UE) 2018/1725, il consigne et enregistre les motifs de cette limitation conformément à l’article 3, paragraphe 3, de la présente décision. L’article 3, paragraphe 4, de la présente décision s’applique.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 18 septembre 2019.
Par le Conseil de résolution unique
Elke KÖNIG
La présidente
|
22.11.2019 |
FR |
Journal officiel de l’Union européenne |
L 301/10 |
DÉCISION DU CONSEIL DE RÉSOLUTION UNIQUE
du 18 septembre 2019
portant règles internes relatives à la limitation de certains droits des personnes en matière de traitement des données à caractère personnel dans le cadre d’une procédure informelle prévue par la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel (SRB/ES/2019/33)
LE CONSEIL DE RÉSOLUTION UNIQUE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (1), et notamment son article 42, son article 43, paragraphe 5, son article 50, paragraphe 3, son article 56, paragraphes 1 à 3, et ses articles 61, 63 et 64,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (2),
vu la consultation avec le Contrôleur européen de la protection des données,
considérant ce qui suit:
|
(1) |
Le Conseil de résolution unique (ci-après le «CRU») accomplit les tâches d’une autorité de résolution dans le cadre du mécanisme de résolution unique (ci-après le «MRU») conformément au règlement (UE) no 806/2014. Le CRU a pour mission d’assurer une résolution ordonnée des défaillances bancaires avec une incidence minimale sur l’économie réelle, le système financier et les finances publiques des États membres participants et au-delà. |
|
(2) |
L’article 12 bis du statut condamne le harcèlement moral et sexuel. La politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et sexuel complète les dispositions de l’article susmentionné en promouvant la culture du respect et la protection de la dignité de l’ensemble du personnel du CRU. Elle introduit aussi des procédures simples et efficaces pour protéger la dignité de toute personne qui travaille pour l’agence. Dans le cadre de cette politique, un membre du personnel ou toute autre personne travaillant pour l’agence en vertu du droit national, peut, si elle pense être victime de harcèlement sexuel ou moral, engager une procédure informelle en demandant l’aide d’un conseiller confidentiel. |
|
(3) |
L’entité du CRU chargée des ressources humaines informe l’entité du CRU chargée de la conformité de tout cas récurrent concernant la même personne, conformément à l’article 7, paragraphe 5, de la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel. L’entité chargée de la conformité informe l’autorité investie du pouvoir de nomination, qui lancera, le cas échéant, la procédure prévue à l’annexe IX du statut; |
|
(4) |
Le CRU, représenté ici par son coordinateur anti-harcèlement, traite plusieurs catégories de données à caractère personnel, en particulier des données d’identification, des coordonnées et des données professionnelles. Les données à caractère personnel sont conservées dans un environnement électronique sécurisé qui empêche que des personnes qui n’ont pas besoin d’en connaître y aient accès ou que ces données leur soient transférées de manière illicite. Les données à caractère personnel traitées sont conservées conformément aux règles du CRU sur la conservation des documents. À la fin de la période de conservation, les informations relatives au dossier incluant des données à caractère personnel sont transférées vers les archives historiques ou supprimées conformément aux principes de minimisation et d’exactitude des données. |
|
(5) |
Les règles internes doivent s’appliquer à l’ensemble des opérations de traitement effectuées par le CRU dans l’exercice de ses activités aux fins de la prévention du harcèlement moral ou sexuel, de la détection et de la poursuite des violations, notamment, du code de déontologie du CRU et du statut. |
|
(6) |
Les règles internes doivent s’appliquer aux opérations de traitement effectuées dans le cadre de procédures informelles, ainsi que pendant le suivi de la mise en œuvre des conclusions de ces procédures. Les règles internes doivent s’appliquer aux opérations de traitement qui font partie des activités associées aux fonctions du responsable de la déontologie et de la conformité du CRU. Ces règles doivent également inclure l’assistance et la coopération fournies par le responsable de la déontologie et de la conformité du CRU aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives. |
|
(7) |
Le CRU doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et expliquer en quoi elles respectent l’essence des libertés et droits fondamentaux. |
|
(8) |
Dans ce cadre, le CRU est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit d’accès et de rectification, au droit à l’effacement, à la portabilité des données etc., tels que consacrés par le règlement (UE) 2018/1725. |
|
(9) |
Cependant, le CRU peut être contraint de différer la communication des informations à la personne concernée et les droits d’autres personnes concernées afin de protéger, en particulier, les procédures informelles en cours, et les droits d’autres personnes se rapportant à des procédures informelles en cours ou closes. |
|
(10) |
Le CRU peut donc différer la communication des informations aux fins de protéger la victime présumée et/ou la procédure informelle et/ou le registre des données traitées dans le cadre de la procédure informelle. |
|
(11) |
Le CRU doit lever la limitation dès lors que les conditions qui la justifient ne s’appliquent plus. |
|
(12) |
Le CRU doit contrôler les conditions de limitation à intervalles réguliers, tous les six mois, et les réviser le cas échéant. |
|
(13) |
Le CRU doit consulter le DPD pendant les révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles internes relatives aux conditions dans lesquelles le CRU, dans le cadre de la procédure informelle prévue par sa politique relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel, peut limiter l’application des droits consacrés aux articles 14 à 21, 35, ainsi qu’à l’article 4 du règlement (UE) 2018/1725, en vertu de son article 25.
2. La présente décision s’applique aux opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de lancer, de mener à bien et de clore une procédure informelle dans le cadre de la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel. En ce qui concerne les opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de mener des enquêtes internes, des enquêtes administratives et des procédures disciplinaires, une décision différente concernant la limitation des droits s’applique (pour référence: SRB/ES/2019/32).
3. Les catégories de données concernées sont les données objectives (détails administratifs, numéro de téléphone, adresse privée, communications électroniques), et les données relatives au trafic et/ou les données subjectives (évaluations, ouverture d’enquêtes, rapports d’enquêtes préliminaires), etc.
4. Sous réserve des conditions fixées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: droits d’accès, de rectification, d’effacement et de portabilité, droit à l’information, confidentialité des communications, et principes relatifs au traitement des données pour autant qu’ils concernent un droit.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties en place pour éviter les violations de données, les fuites ou la divulgation non autorisée sont les suivantes: limitation des droits d’accès aux dossiers électroniques et à la boîte aux lettres fonctionnelle pour l’introduction de réclamations, armoires sécurisées avec des clés, et formation spécifique sur la confidentialité à l’intention des personnes qui traitent les informations.
2. Le responsable de ces opérations de traitement est le CRU, représenté ici par son coordinateur anti-harcèlement.
3. Les données à caractère personnel collectées sont conservées conformément aux règles du CRU sur la conservation des documents. La période de conservation respecte le principe de conservation des données pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité de l’opération de traitement, et, finalement, pour permettre la résolution de litiges judiciaires ou administratifs.
Article 3
Limitations
1. Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, toute limitation s’applique uniquement pour garantir:
|
— |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
|
— |
la protection de la personne concernée ou des droits et libertés d’autrui; |
|
— |
la prévention, la détection et la résolution de manquements à la déontologie, ainsi que les enquêtes en la matière. |
2. Toute limitation est nécessaire et proportionnée dans une société démocratique et respecte l’essence des libertés et droits fondamentaux.
3. Une évaluation de la nécessité et de la proportionnalité est réalisée sur la base des présentes règles internes. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
4. Les limitations sont dûment contrôlées et une révision périodique est réalisée tous les six mois.
5. Les limitations sont levées dès lors que les circonstances qui les justifient cessent d’exister.
6. Le risque pour les droits et libertés de la personne concernée est la limitation temporaire de l’exercice effectif des droits de la personne concernée, notamment à l’information, à l’effacement ou à la défense, tels que garantis par le règlement (UE) 2018/1725.Ces risques sont pris en considération dans le cadre de l’évaluation de la nécessité et de la proportionnalité mentionnée au paragraphe 3 du présent article.
Article 4
Participation du délégué à la protection des données
1. Pendant toute procédure de limitation et dans les meilleurs délais, le CRU informe son délégué à la protection des données (ci-après le «DPD») de toute limitation de l’application des droits des personnes concernées conformément à la présente décision. Il fournit un accès au dossier et à l’évaluation de la nécessité et de la proportionnalité de la limitation.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le CRU informe le DPD par écrit du résultat du réexamen demandé et du moment où la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Le CRU inclut dans les avis de protection des données publiés sur son intranet informant les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations concernant la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. En outre, le CRU informe individuellement les personnes concernées, dans les meilleurs délais et par écrit, de leurs droits concernant des limitations présentes ou futures, sans préjudice du paragraphe suivant.
3. Les personnes concernées sont informées des raisons principales qui justifient l’application d’une limitation et de leur droit de saisir le Contrôleur européen de la protection des données.
Article 6
Droit d’accès de la personne concernée
1. Lorsque les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, le CRU limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque le CRU limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, il prend les mesures suivantes:
|
a) |
il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
il consigne les raisons de la limitation, dont une évaluation de la nécessité et de la proportionnalité de la limitation; à cette fin, il indique dans le dossier en quoi l’accès nuirait à la finalité des activités d’enquête du CRU ou des limitations appliquées en vertu de l’article 2, paragraphe 3, ou porterait atteinte aux droits et libertés d’autres personnes concernées. |
La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
3. Le dossier mentionné au paragraphe 2, point b), et, le cas échéant, les documents contenant des éléments juridiques et factuels sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande. L’article 25, paragraphe 7, du règlement (UE) 2018/1725 s’applique.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
Lorsque le CRU limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, il prend les mesures visées à l’article 6, paragraphe 2, de la présente décision, et enregistre le dossier conformément à son article 6, paragraphe 3.
Article 8
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 18 septembre 2019.
Pour le Conseil de résolution unique
Elke KÖNIG
Présidente
|
22.11.2019 |
FR |
Journal officiel de l’Union européenne |
L 301/14 |
DÉCISION DU CONSEIL DE RÉSOLUTION UNIQUE
du 18 septembre 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des enquêtes sur les incidents de sécurité interne effectuées par le Conseil de résolution unique (SRB/ES/2019/34)
LE CONSEIL DE RÉSOLUTION UNIQUE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (1), et notamment son article 42, son article 43, paragraphe 5, son article 50, paragraphe 3, son article 56, paragraphes 1 à 3, et ses articles 61, 63 et 64,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (2),
vu la consultation avec le Contrôleur européen de la protection des données,
considérant ce qui suit:
|
(1) |
Le Conseil de résolution unique (ci-après le «CRU») accomplit les tâches d’une autorité de résolution dans le cadre du mécanisme de résolution unique (ci-après le «MRU») conformément au règlement (UE) no 806/2014. Le CRU a pour mission d’assurer une résolution ordonnée des défaillances bancaires avec une incidence minimale sur l’économie réelle, le système financier et les finances publiques des États membres participants et au-delà. |
|
(2) |
Le CRU peut traiter des données à caractère personnel pour les différents systèmes installés dans ses locaux (vidéo surveillance, contrôle des accès, registres des visiteurs). Ces informations sont strictement collectées à des fins de sécurité et de sûreté (par exemple pour savoir combien de personnes sont présentes dans le bâtiment en cas d’évacuation, conformément aux décisions de la CE en matière de sécurité), pour prévenir, détecter et consigner tout incident de sécurité survenant à l’intérieur des bâtiments ou aux alentours. |
|
(3) |
Le CRU, représenté ici par le chef de l’unité «Services administratifs et TIC», traite plusieurs catégories de données à caractère personnel, en particulier des données d’identification, des coordonnées et des données professionnelles. Les données à caractère personnel sont conservées dans un environnement électronique sécurisé qui empêche que des personnes qui n’ont pas besoin d’en connaître y aient accès ou que ces données leur soient transférées de manière illicite. Les données à caractère personnel traitées sont conservées conformément aux règles de la CE sur la conservation des données. À la fin de la période de conservation, les informations collectées comprenant des données à caractère personnel sont supprimées conformément à la période maximale convenue: registres des visiteurs: 6 mois, système de vidéosurveillance:30 jours, système de contrôle des accès: 2 mois. |
|
(4) |
Les règles internes doivent s’appliquer à l’ensemble des opérations de traitement effectuées par le CRU dans l’exercice de ses activités en matière de sécurité et de sûreté, aux fins de la prévention et de la détection des incidents de sécurité et des enquêtes en la matière, de la protection du personnel, des biens et des informations de l’agence et de ses visiteurs. |
|
(5) |
Les règles internes doivent s’appliquer aux opérations de traitement effectuées dans le cadre d’enquêtes sur les incidents de sécurité interne, ainsi que pendant le suivi de la mise en œuvre des conclusions de ces enquêtes. Les règles internes doivent s’appliquer aux opérations de traitement qui font partie des activités liées au secteur Sécurité/Installations du CRU. Ces règles doivent également inclure l’assistance et la coopération fournies par le secteur Sécurité/Installations du CRU aux autorités nationales, aux forces de l’ordre belges, à l’OLAF, aux services d’urgence et aux organisations internationales en dehors de ses enquêtes administratives. |
|
(6) |
Le CRU doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et expliquer en quoi elles respectent l’essence des libertés et droits fondamentaux. |
|
(7) |
Dans ce cadre, le CRU est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit d’accès et de rectification, au droit à l’effacement, à la portabilité des données etc., tels que consacrés par le règlement (UE) 2018/1725. |
|
(8) |
Cependant, le CRU peut être contraint de différer l’information de la personne concernée ainsi que d’autres droits des personnes concernées pour protéger, en particulier, ses propres enquêtes sur les incidents de sécurité comprenant les données des systèmes de vidéosurveillance ou de contrôle des accès. |
|
(9) |
Le CRU peut donc différer l’information aux fins de protéger les enquêtes sur les incidents de sécurité. |
|
(10) |
Le CRU doit lever la limitation dès lors que les conditions qui la justifient ne s’appliquent plus. |
|
(11) |
Le CRU doit contrôler les conditions de limitation à intervalles réguliers, tous les six mois, et les révise le cas échéant. |
|
(12) |
Le CRU doit consulter le DPD pendant les révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles internes relatives aux conditions dans lesquelles le CRU, dans le cadre des enquêtes sur les incidents de sécurité interne, peut limiter l’application des droits consacrés aux articles 14 à 21, 35, ainsi qu’à l’article 4 du règlement (UE) 2018/1725, en vertu de son article 25.
2. La présente décision s’applique aux opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de mener des enquêtes sur les incidents de sécurité interne, ainsi que pendant le suivi de la mise en œuvre des conclusions de ces enquêtes.
3. Les catégories de données concernées sont les données objectives (détails administratifs, numéro de téléphone, adresse privée, communications électroniques), et les données relatives au trafic et/ou les données subjectives (évaluations, ouverture d’enquêtes, rapports d’enquêtes préliminaires), etc.
4. Sous réserve des conditions fixées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: droits d’accès, de rectification, d’effacement et de portabilité, droit à l’information, confidentialité des communications, et principes relatifs au traitement des données pour autant qu’ils concernent un droit.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties en place pour éviter les violations de données, les fuites ou la divulgation non autorisée sont les suivantes: limitation des droits d’accès aux dossiers électroniques et à la boîte aux lettres fonctionnelle pour l’introduction de réclamations, armoires sécurisées avec des clés, et formation spécifique sur la confidentialité à l’intention des personnes qui traitent les informations.
2. Le responsable de ces opérations de traitement est le CRU, représenté ici par le chef de l’unité «Services administratifs et TIC».
3. Les données à caractère personnel collectées sont conservées conformément aux règles de l’Union européenne sur la conservation des données et conformément à la loi belge du 21 mars 2007 (régissant l’installation et l’utilisation des caméras de surveillance). La période de conservation respecte le principe de conservation pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité de l’opération de traitement, et, finalement, pour permettre la résolution des litiges judiciaires ou administratifs.
Article 3
Limitations
1. Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, toute limitation s’applique uniquement pour garantir:
|
— |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
|
— |
la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques; |
|
— |
la protection des procédures judiciaires; |
|
— |
la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
|
— |
la protection de la personne concernée ou des droits et libertés d’autrui. |
2. Toute limitation est nécessaire et proportionnée dans une société démocratique et respecte l’essence des libertés et droits fondamentaux.
3. Une évaluation de la nécessité et de la proportionnalité est réalisée sur la base des présentes règles internes. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
4. Les limitations sont dûment contrôlées et une révision périodique est réalisée tous les six mois.
5. Les limitations sont levées dès lors que les circonstances qui les justifient cessent d’exister.
6. Le risque pour les droits et libertés de la personne concernée est la limitation temporaire de l’exercice effectif des droits de la personne concernée, notamment à l’information, à l’effacement ou à la défense, tels que garantis par le règlement (UE) 2018/1725. Ces risques sont pris en considération dans le cadre de l’évaluation de la nécessité et de la proportionnalité mentionnée au paragraphe 3 du présent article.
Article 4
Participation du délégué à la protection des données
1. Pendant la procédure de limitation et dans les meilleurs délais, le CRU informe son délégué à la protection des données (ci-après le «DPD») de toute limitation de l’application des droits des personnes concernées conformément à la présente décision. Il fournit un accès au dossier et à l’évaluation de la nécessité et de la proportionnalité de la limitation.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le CRU informe le DPD par écrit du résultat du réexamen demandé et du moment où la limitation est levée.
Article 5
Communication d’informations aux personnes concernées
1. Le CRU inclut dans les avis de protection des données publiés sur son intranet et sur son site web informant les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations concernant la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. En outre, le CRU informe individuellement les personnes concernées, dans les meilleurs délais et par écrit, de leurs droits concernant des limitations présentes ou futures, sans préjudice du paragraphe suivant.
3. Les personnes concernées sont informées des raisons principales qui justifient l’application d’une limitation et de leur droit de saisir le Contrôleur européen de la protection des données.
Article 6
Droit d’accès de la personne concernée
1. Lorsque les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, le CRU limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque le CRU limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, il prend les mesures suivantes:
|
a) |
il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
il consigne les raisons de la limitation, dont une évaluation de la nécessité et de la proportionnalité de la limitation; à cette fin, il indique dans le dossier en quoi l’accès nuirait à la finalité des activités d’enquête du CRU ou des limitations appliquées en vertu de l’article 2, paragraphe 3, ou porterait atteinte aux droits et libertés d’autres personnes concernées. La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725. |
3. Le dossier mentionné au paragraphe 2, point b), et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande. L’article 25, paragraphe 7, du règlement (UE) 2018/1725 s’applique.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
Lorsque le CRU limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, il prend les mesures visées à l’article 6, paragraphe 2, de la présente décision, et enregistre le dossier conformément à son article 6, paragraphe 3.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel
Lorsque le CRU limite la communication d’une violation de données à caractère personnel à la personne concernée, visée à l’article 35 du règlement (UE) 2018/1725, il consigne et enregistre les motifs de cette limitation conformément à l’article 3, paragraphe 3, de la présente décision. L’article 3, paragraphe 4, de la présente décision s’applique.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 18 septembre 2019.
Pour le Conseil de résolution unique
Elke KÖNIG
Présidente