ISSN 1977-0693
Journal officiel
de l’Union européenne
L 37
Édition de langue française
Législation
63e année
10 février 2020
|
ISSN 1977-0693 |
||
|
Journal officiel de l’Union européenne |
L 37 |
|
|
|
||
|
Édition de langue française |
Législation |
63e année |
|
Sommaire |
|
II Actes non législatifs |
page |
|
|
|
RÈGLEMENTS |
|
|
|
* |
||
|
|
* |
||
|
|
* |
Règlement d’Exécution (UE) 2020/180 de la Commission du 7 février 2020 concernant l’autorisation d’une préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP en tant qu’additif destiné à l’alimentation de toutes les espèces animales ( 1 ) |
|
|
|
|
DÉCISIONS |
|
|
|
* |
Décision d’Exécution (UE) 2020/181 de la Commission du 7 février 2020 concernant certaines mesures provisoires de protection contre la peste porcine africaine en Grèce [notifiée sous le numéro C(2020) 799] ( 1 ) |
|
|
|
|
RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE |
|
|
|
* |
||
|
|
* |
|
|
|
Rectificatifs |
|
|
|
* |
|
|
|
|
|
(1) Texte présentant de l’intérêt pour l’EEE. |
|
FR |
Les actes dont les titres sont imprimés en caractères maigres sont des actes de gestion courante pris dans le cadre de la politique agricole et ayant généralement une durée de validité limitée. Les actes dont les titres sont imprimés en caractères gras et précédés d'un astérisque sont tous les autres actes. |
II Actes non législatifs
RÈGLEMENTS
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/1 |
RÈGLEMENT D’EXÉCUTION (UE) 2020/178 DE LA COMMISSION
du 31 janvier 2020
relatif à l’information des passagers en provenance de pays tiers et des clients des services postaux et de certains opérateurs professionnels concernant les interdictions relatives à l’introduction de végétaux, produits végétaux et autres objets sur le territoire de l’Union conformément au règlement (UE) 2016/2031 du Parlement européen et du Conseil
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2016/2031 du Parlement européen et du Conseil du 26 octobre 2016 relatif aux mesures de protection contre les organismes nuisibles aux végétaux, modifiant les règlements du Parlement européen et du Conseil (UE) no 228/2013, (UE) no 652/2014 et (UE) no 1143/2014 et abrogeant les directives du Conseil 69/464/CEE, 74/647/CEE, 93/85/CEE, 98/57/CE, 2000/29/CE, 2006/91/CE et 2007/33/CE (1), et notamment son article 45, paragraphe 1, quatrième alinéa,
considérant ce qui suit:
|
(1) |
En vertu du règlement (UE) 2016/2031, les États membres, les ports maritimes, les aéroports et les opérateurs de transport international sont tenus de mettre à la disposition des voyageurs des informations sur les interdictions et les exigences relatives à l’introduction de végétaux, produits végétaux et autres objets sur le territoire de l’Union. |
|
(2) |
Les opérateurs de services postaux et les opérateurs professionnels effectuant des ventes à distance sont également tenus de mettre ces informations à la disposition de leurs clients. |
|
(3) |
Les informations devraient être présentées de manière simple et immédiatement compréhensible. Elles devraient donc s’accompagner d’illustrations représentant les articles suivants, dont le transport par les voyageurs est interdit: végétaux destinés à la plantation, fleurs coupées, fruits et légumes. |
|
(4) |
Par souci de clarté, les informations devraient être accompagnées d’un message portant sur les règles et exigences les plus importantes en ce qui concerne l’introduction de végétaux, produits végétaux et autres objets sur le territoire de l’Union. Ce message devrait contenir des informations sur les fruits pour lesquels un certificat phytosanitaire n’est pas exigé en vertu de l’article 73 du règlement (UE) 2016/2031, sur les pays tiers en provenance desquels un certificat phytosanitaire n’est pas exigé et sur les territoires de l’Union en provenance desquels ce certificat est exigé. |
|
(5) |
Ces informations devraient être fournies à tous les points d’entrée dans l’Union, ou dans les moyens de transport y introduisant des produits. Les États membres devraient également être libres de désigner des points supplémentaires, tels que les points de départ de l’Union vers les pays tiers, afin de rendre ces informations accessibles en temps utile aux voyageurs qui reviendront ultérieurement de ces pays vers l’Union. |
|
(6) |
Le présent règlement devrait entrer en vigueur le troisième jour suivant celui de sa publication, afin de garantir que les voyageurs, ainsi que les clients des services postaux et des opérateurs professionnels effectuant des ventes à distance, soient informés dans les meilleurs délais de l’application des nouvelles règles. |
|
(7) |
Les mesures prévues par le présent règlement sont conformes à l’avis du comité permanent des végétaux, des animaux, des denrées alimentaires et des aliments pour animaux, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Information des passagers en provenance de pays tiers et des clients des services postaux et de certains opérateurs professionnels
1. Les États membres, les ports maritimes, les aéroports et les opérateurs de transport international présentent les informations figurant en annexe par voie d’affiches à l’intention des voyageurs en provenance de pays tiers à tous les points d’entrée dans l’Union, ou dans les moyens de transport y introduisant des produits.
Les États membres, les ports maritimes, les aéroports et les opérateurs de transport international peuvent également disposer les affiches mentionnées au premier alinéa aux points de départ de l’Union.
2. Les opérateurs de services postaux et les opérateurs professionnels effectuant des ventes à distance mettent à la disposition de leurs clients, au moins sur l’internet, les informations figurant en annexe.
3. Les informations figurant en annexe sont placées bien en évidence, physiquement et sur l’internet.
Article 2
Entrée en vigueur
Le présent règlement entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 31 janvier 2020.
Par la Commission
La présidente
Ursula VON DER LEYEN
ANNEXE
Affiche visée à l’article 1er
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/4 |
RÈGLEMENT D’EXÉCUTION (UE) 2020/179 DE LA COMMISSION
du 3 février 2020
approuvant une modification du cahier des charges d’une indication géographique de boisson spiritueuse enregistrée (Berliner Kümmel)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2019/787 du Parlement européen et du Conseil du 17 avril 2019 concernant la définition, la désignation, la présentation et l’étiquetage des boissons spiritueuses, l’utilisation des noms de boissons spiritueuses dans la présentation et l’étiquetage d’autres denrées alimentaires, la protection des indications géographiques relatives aux boissons spiritueuses, ainsi que l’utilisation de l’alcool éthylique et des distillats d’origine agricole dans les boissons alcoolisées, et abrogeant le règlement (CE) no 110/2008 (1), et notamment son article 30, paragraphe 2,
considérant ce qui suit:
|
(1) |
Conformément à l’article 21 en liaison avec l’article 17, paragraphe 5, du règlement (CE) no 110/2008 du Parlement européen et du Conseil (2), la Commission a examiné la demande de l’Allemagne du 28 septembre 2017 d’approuver une modification de la fiche technique relative à l’indication géographique «Berliner Kümmel», protegée en vertu du règlement (CE) no 110/2008. |
|
(2) |
Le règlement (UE) 2019/787 qui remplace le règlement (CE) no 110/2008 est entré en vigueur le 25 mai 2019. Conformément à l’article 49, paragraphe 1, dudit règlement, le chapitre III du règlement (CE) no 110/2008, relatif aux indications géographiques, est abrogé avec effet au 8 juin 2019. Au titre de l’article 22, paragraphe 2, du règlement (UE) 2019/787, les fiches techniques soumises dans le cadre de toute demande avant le 8 juin 2019 au titre du règlement (CE) no 110/2008 sont considérées comme un cahier des charges. |
|
(3) |
Ayant conclu que la demande est conforme au règlement (CE) no 110/2008, la Commission a publié la demande de modification au Journal officiel de l’Union européenne (3) en application de l’article 17, paragraphe 6, dudit règlement, conformément à l’article 50, paragraphe 4, premier alinéa, du règlement (UE) 2019/787. |
|
(4) |
Aucun acte d’opposition n’ayant été notifié à la Commission conformément à l’article 27, paragraphe 1 du règlement (UE) 2019/787, la modification du cahier des charges doit être approuvée en vertu de l’article 30, paragraphe 2, dudit règlement, applicable mutatis mutandis en ce qui concerne les modifications du cahier des charges, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
La modification du cahier des charges concernant la dénomination «Berliner Kümmel», publiée au Journal officiel de l’Union européenne, est approuvée.
Article 2
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 3 février 2020.
Par la Commission,
au nom de la présidente,
Janusz WOJCIECHOWSKI
Membre de la Commission
(1) JO L 130 du 17.5.2019, p. 1.
(2) Règlement (CE) no 110/2008 du Parlement européen et du Conseil du 15 janvier 2008 concernant la définition, la désignation, la présentation, l’étiquetage et la protection des indications géographiques des boissons spiritueuses et abrogeant le règlement (CEE) no 1576/89 du Conseil (JO L 39 du 13.2.2008, p. 16).
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/5 |
RÈGLEMENT D’EXÉCUTION (UE) 2020/180 DE LA COMMISSION
du 7 février 2020
concernant l’autorisation d’une préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP en tant qu’additif destiné à l’alimentation de toutes les espèces animales
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (CE) no 1831/2003 du Parlement européen et du Conseil du 22 septembre 2003 relatif aux additifs destinés à l’alimentation des animaux (1), et notamment son article 9, paragraphe 2,
considérant ce qui suit:
|
(1) |
Le règlement (CE) no 1831/2003 dispose que les additifs destinés à l’alimentation des animaux sont soumis à autorisation et définit les motifs et les procédures d’octroi de cette autorisation. |
|
(2) |
Conformément à l’article 7 du règlement (CE) no 1831/2003, une demande d’autorisation a été présentée pour une préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP en tant qu’additif destiné à l’alimentation de toutes les espèces animales. La demande était accompagnée des informations et des documents requis au titre de l’article 7, paragraphe 3, dudit règlement. |
|
(3) |
La demande concerne l’autorisation d’une préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP à utiliser dans du soja, à classer dans la catégorie des «additifs technologiques». |
|
(4) |
Dans ses avis du 8 septembre 2015 (2) et du 18 septembre 2018 (3), l’Autorité européenne de sécurité des aliments (ci-après l’«Autorité») a conclu que, dans les conditions d’utilisation proposées, la préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP n’avait pas d’effet néfaste sur la santé animale ou l’environnement. Néanmoins, elle a également conclu que l’additif est considéré comme un irritant pour la peau et les yeux et un sensibilisant cutané et respiratoire. Par conséquent, la Commission estime qu’il y a lieu de prendre des mesures de protection appropriées pour prévenir les effets néfastes sur la santé humaine, notamment en ce qui concerne les utilisateurs de l’additif. L’Autorité est aussi parvenue à la conclusion que l’additif pouvait être efficace pour réduire la concentration en oligosaccharides de la série des raffinoses et constituer un inhibiteur de la trypsine dans le soja. L’Autorité juge inutile de prévoir des exigences spécifiques en matière de surveillance consécutive à la mise sur le marché. Elle a également vérifié le rapport sur la méthode d’analyse de l’additif dans l’alimentation des animaux présenté par le laboratoire de référence désigné dans le règlement (CE) no 1831/2003. |
|
(5) |
Il ressort de l’évaluation de la préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP que les conditions d’autorisation énoncées à l’article 5 du règlement (CE) no 1831/2003 sont remplies. Il convient dès lors d’autoriser l’utilisation de cette préparation selon les modalités prévues à l’annexe du présent règlement. |
|
(6) |
Les mesures prévues par le présent règlement sont conformes à l’avis du comité permanent des végétaux, des animaux, des denrées alimentaires et des aliments pour animaux, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
La préparation visée en annexe, qui appartient à la catégorie des «additifs technologiques» et au groupe fonctionnel des «autres additifs technologiques», est autorisée en tant qu’additif dans l’alimentation des animaux, dans les conditions fixées à ladite annexe.
Article 2
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 7 février 2020.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 268 du 18.10.2003, p. 29.
(2) EFSA Journal 2015;13(9):4230.
(3) EFSA Journal 2018;16(5):5275.
ANNEXE
|
Numéro d’identification de l’additif |
Additif |
Composition, formule chimique, description, méthode d’analyse |
Espèce animale ou catégorie d’animaux |
Âge maximal |
Teneur minimale |
Teneur maximale |
Autres dispositions |
Fin de la période d’autorisation |
||||||
|
UFC d’additif/kg de soja |
||||||||||||||
|
Catégorie des additifs technologiques. Groupe fonctionnel: autres additifs technologiques (réduction des facteurs antinutritionnels dans le soja) |
||||||||||||||
|
1o01 |
Bacillus subtilis KCCM 10673P Aspergillus oryzae KCTC 10258BP |
Composition de l’additif: Préparation de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP contenant respectivement au moins 1,2 × 108 UFC/g d’additif et 2,0 × 108 UFC/g d’additif |
Toutes les espèces animales |
— |
Bacillus subtilis 1,2 × 106 Aspergillus oryzae 2,0 × 106 |
- |
|
1er mars 2030 |
||||||
|
Caractérisation de la substance active: Cellules viables de Bacillus subtilis KCCM 10673P et d’Aspergillus oryzae KCTC 10258BP. |
||||||||||||||
|
Méthode d’analyse (1) Dénombrement de Bacillus subtilis KCCM 10673P dans l’additif pour l’alimentation animale, les prémélanges et les aliments pour animaux: méthode par étalement sur lame au moyen d’une gélose tryptone soja (EN 15784). Identification de Bacillus subtilis KCCM 10673P dans l’additif pour l’alimentation animale: électrophorèse sur gel en champ pulsé (ECP) Identification d’Aspergillus oryzae KCTC 10258BP dans l’additif pour l’alimentation animale: typage par réaction en chaîne par polymérase (PCR). |
||||||||||||||
(1) La description détaillée des méthodes d’analyse est publiée sur la page du laboratoire de référence, à l’adresse suivante: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports
DÉCISIONS
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/8 |
DÉCISION D’EXÉCUTION (UE) 2020/181 DE LA COMMISSION
du 7 février 2020
concernant certaines mesures provisoires de protection contre la peste porcine africaine en Grèce
[notifiée sous le numéro C(2020) 799]
(Le texte en langue grecque est le seul faisant foi)
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu la directive 89/662/CEE du Conseil du 11 décembre 1989 relative aux contrôles vétérinaires applicables dans les échanges intracommunautaires dans la perspective de la réalisation du marché intérieur (1), et notamment son article 9, paragraphe 3,
vu la directive 90/425/CEE du Conseil du 26 juin 1990 relative aux contrôles vétérinaires applicables dans les échanges à l’intérieur de l’Union de certains animaux vivants et produits dans la perspective de la réalisation du marché intérieur (2), et notamment son article 10, paragraphe 3,
considérant ce qui suit:
|
(1) |
La peste porcine africaine, maladie virale infectieuse qui touche les populations de porcs domestiques et sauvages, peut avoir une incidence grave sur la rentabilité des élevages de porcs en perturbant les échanges au sein de l’Union et les exportations vers les pays tiers. |
|
(2) |
Lorsqu’un foyer de peste porcine africaine apparaît, le risque existe que l’agent pathogène se propage à d’autres exploitations porcines et aux porcs sauvages. La maladie peut ainsi se propager d’un État membre à l’autre ou à des pays tiers à la faveur des échanges commerciaux de porcs vivants ou de leurs produits. |
|
(3) |
La directive 2002/60/CE du Conseil (3) établit les mesures minimales de lutte contre la peste porcine africaine à appliquer dans l’Union. L’article 9 de la directive 2002/60/CE prévoit, en cas d’apparition de foyers de cette maladie, l’établissement de zones de protection et de surveillance dans lesquelles les mesures énoncées aux articles 10 et 11 de ladite directive doivent s’appliquer. |
|
(4) |
La Grèce a informé la Commission de la situation actuelle au regard de la peste porcine africaine sur son territoire et, conformément à l’article 9 de la directive 2002/60/CE, a établi des zones de protection et de surveillance dans lesquelles les mesures visées aux articles 10 et 11 de ladite directive sont appliquées. |
|
(5) |
Il est nécessaire, pour prévenir toute perturbation inutile des échanges commerciaux au sein de l’Union et pour éviter que des pays tiers n’imposent des entraves au commerce injustifiées, de décrire à l’échelon de l’Union les zones de protection et de surveillance établies pour la peste porcine africaine en Grèce, en coopération avec cet État membre. |
|
(6) |
En conséquence, dans l’attente de la prochaine réunion du comité permanent des végétaux, des animaux, des denrées alimentaires et des aliments pour animaux, il convient que les zones de protection et de surveillance établies par la Grèce ainsi que la durée de cette régionalisation soient précisées en annexe de la présente décision. |
|
(7) |
La présente décision sera réexaminée lors de la prochaine réunion du comité permanent des végétaux, des animaux, des denrées alimentaires et des aliments pour animaux, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
La Grèce veille à ce que les zones de protection et de surveillance établies conformément à l’article 9 de la directive 2002/60/CE comprennent au moins les zones de protection et de surveillance énumérées à l’annexe de la présente décision.
Article 2
La présente décision est applicable jusqu’au 6 avril 2020.
Article 3
La République hellénique est destinataire de la présente décision.
Fait à Bruxelles, le 7 février 2020.
Par la Commission
Stella KYRIAKIDES
Membre de la Commission
(1) JO L 395 du 30.12.1989, p. 13.
(2) JO L 224 du 18.8.1990, p. 29.
(3) Directive 2002/60/CE du Conseil du 27 juin 2002 établissant des dispositions spécifiques pour la lutte contre la peste porcine africaine et modifiant la directive 92/119/CEE, en ce qui concerne la maladie de Teschen et la peste porcine africaine (JO L 192 du 20.7.2002, p. 27).
ANNEXE
|
Grèce |
Zones visées à l’article premier |
Applicable jusqu’au |
||||||||||||||
|
Zone de protection |
Commune de Visaltias (unité régionale de Serres) |
6 avril 2020 |
||||||||||||||
|
Zone de surveillance |
Dans l’unité régionale de Thessaloniki:
Dans l’unité régionale de Serres:
|
6 avril 2020 |
RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/11 |
DÉCISION DU CONSEIL D’ADMINISTRATION DE L’AGENCE DE L’UNION EUROPÉENNE POUR LA CYBERSÉCURITÉ
du 21 novembre 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l’ENISA
LE CONSEIL D’ADMINISTRATION DE L’ENISA
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
vu le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (2), et notamment son article 15, paragraphe 1,
vu l’avis du Contrôleur européen de la protection des données (le «CEPD») du 17 octobre 2019 et les lignes directrices du CEPD concernant l’article 25 du règlement (UE) 2018/1725 et les règles internes,
considérant ce qui suit:
|
(1) |
Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes à adopter par l’ENISA, lorsque celles-ci ne sont pas fondées sur des actes juridiques adoptés sur la base des traités. |
|
(2) |
Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne devraient pas s’appliquer lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées. |
|
(3) |
Lorsque l’ENISA exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des exceptions établies dans ledit règlement s’applique. |
|
(4) |
L’ENISA peut, dans le cadre de son fonctionnement administratif, mener des enquêtes administratives, des procédures disciplinaires et des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’Office européen de lutte antifraude (l’«OLAF»), traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, procéder à des audits internes, procéder à une évaluation des incidents de sécurité informatique conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, confier la conduite d’enquêtes au délégué à la protection des données (le «DPD») conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) internes. L’ENISA traite plusieurs catégories de données à caractère personnel, y compris des données vérifiables (les données «objectives», telles que les données d’identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et/ou des données non vérifiées (les données «subjectives» concernant le cas d’espèce, telles que la motivation, les données relatives au comportement, les appréciations, les performances et la conduite, et les données relatives à l’objet de la procédure ou de l’activité ou encore les données présentées dans le cadre de la procédure ou de l’activité). |
|
(5) |
L’ENISA, représentée par son directeur exécutif, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure de la fonction de responsable du traitement, au sein de l’ENISA, afin de tenir compte des responsabilités opérationnelles liées à des traitements spécifiques de données à caractère personnel. |
|
(6) |
Les données à caractère personnel sont stockées de manière sécurisée dans un environnement électronique ou sur papier, empêchant ainsi tout accès illicite aux données par des personnes qui n’ont pas besoin d’en connaître ou tout transfert illicite à ces dernières. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux finalités pour lesquelles elles sont traitées, pendant la période indiquée dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de l’ENISA. |
|
(7) |
Les règles internes devraient s’appliquer à toutes les opérations de traitement effectuées par l’ENISA dans le cadre des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, des procédures de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, du traitement de plaintes internes et externes, des audits internes, de l’évaluation des incidents de sécurité informatique conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, des enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et des enquêtes de sécurité (informatique) réalisées en interne ou avec une participation externe (par exemple CERT-UE). |
|
(8) |
Ces règles internes devraient s’appliquer aux opérations de traitement effectuées avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des mesures prises à l’issue de ces procédures. Ces règles devraient aussi couvrir l’assistance et la coopération fournies par l’ENISA aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives. |
|
(9) |
Dans les cas où ces règles internes s’appliquent, l’ENISA doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent le contenu essentiel des libertés et droits fondamentaux. |
|
(10) |
Dans ce cadre, l’ENISA est tenue de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725. |
|
(11) |
Toutefois, l’ENISA peut être obligée de limiter la communication d’informations à la personne concernée et d’autres droits de la personne concernée afin de protéger, en particulier, ses propres enquêtes, les enquêtes et les procédures d’autres autorités publiques, ainsi que les droits d’autres personnes liées à ses enquêtes ou à d’autres procédures. |
|
(12) |
L’ENISA peut donc limiter la communication d’informations dans le but de protéger l’enquête ainsi que les libertés et droits fondamentaux d’autres personnes concernées. |
|
(13) |
L’ENISA devrait vérifier régulièrement que les conditions qui justifient la limitation s’appliquent et lever la limitation dès lors que celles-ci cessent de s’appliquer. |
|
(14) |
Le responsable du traitement devrait informer le délégué à la protection des données au moment de différer la communication d’informations et lors des révisions. |
|
(15) |
En raison de l’importance des règles internes pour la protection des droits des personnes concernées, la décision devrait entrer en vigueur dès que possible après sa publication au Journal officiel de l’Union européenne, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision fixe les conditions dans lesquelles l’ENISA, dans le cadre de ses procédures visées au point 2, peut limiter l’application des droits consacrés aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4 des présentes, conformément à l’article 25 du règlement (UE) 2018/1725.
2. La présente décision s’applique, dans le cadre du fonctionnement administratif de l’ENISA, aux opérations de traitement de données à caractère personnel effectuées par l’ENISA aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes, procéder à une évaluation des incidents de sécurité informatique conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (par exemple CERT-UE).
3. Les catégories de données concernées sont des données vérifiables (les données «objectives», telles que les données d’identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et/ou des données non vérifiées (les données «subjectives» concernant le cas d’espèce, telles que la motivation, les données relatives au comportement, les appréciations, les performances et la conduite, et les données relatives à l’objet de la procédure ou de l’activité ou encore les données présentées dans le cadre de la procédure ou de l’activité).
4. Lorsque l’ENISA exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des exceptions établies dans ledit règlement s’applique.
5. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits ci-après: la communication d’informations à des personnes concernées, le droit d’accès, de rectification, d’effacement, de limitation du traitement, de communication à la personne concernée d’une violation de ses données à caractère personnel ou le droit relatif à la confidentialité des communications.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties mises en place pour éviter les violations de données, les fuites ou la divulgation non autorisée sont les suivantes:
|
a) |
la conservation des documents papier dans des armoires sécurisées et accessibles au seul personnel habilité; |
|
b) |
le stockage de toutes les données électroniques dans une application informatique sécurisée, conformément aux normes de sécurité de l’ENISA, ainsi que dans des dossiers électroniques spécifiques accessibles au seul personnel habilité. Les niveaux d’accès appropriés sont accordés individuellement; |
|
c) |
la protection de la base de données par un mot de passe dans un système d’authentification unique et la connexion automatique de la base de données à l’identifiant et au mot de passe de l’utilisateur. Le remplacement d’utilisateurs est strictement interdit. Les enregistrements électroniques sont conservés en toute sécurité afin de préserver la confidentialité et le caractère privé des données qu’ils contiennent; |
|
d) |
toutes les personnes ayant accès aux données sont liées par l’obligation de confidentialité. |
2. Le responsable du traitement est l’ENISA, représentée par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de l’ENISA.
3. La durée de conservation des données à caractère personnel visées à l’article 1, paragraphe 3, n’est pas plus longue que nécessaire et elle est appropriée aux finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 5, paragraphe 1.
4. Lorsque L’ENISA envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures de l’ENISA, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.
Article 3
Limitations
1. L’ENISA n’appliquera une limitation que pour sauvegarder:
|
a) |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
|
b) |
d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale; |
|
c) |
la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques; |
|
d) |
la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
|
e) |
une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) et b); |
|
f) |
la protection de la personne concernée ou des droits et libertés d’autrui. |
2. L’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881 (le règlement sur la cybersécurité) relève du paragraphe 1, point b), du présent article.
3. Aux fins spécifiques de l’application des finalités énoncées au paragraphe 1 ci-dessus, l’ENISA peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d’autres institutions, organes et organismes de l’Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:
|
a) |
lorsque l’exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d’autres institutions, organes et organismes de l’Union sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’Union; |
|
b) |
lorsque l’exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4); |
|
c) |
lorsque l’exercice de ces droits et obligations pourrait compromettre la coopération de l’ENISA avec les pays tiers ou les organisations internationales dans l’accomplissement de ses missions. |
Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l’ENISA consulte les services compétents de la Commission, les institutions, organes et organismes de l’Union ou les autorités compétentes des États membres à moins qu’il ne soit clair pour l’ENISA que l’application d’une limitation est prévue par l’un des actes visés à ces points.
4. Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.
5. Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
6. Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier, lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.
Article 4
Réexamen par le délégué à la protection des données
1. L’ENISA informe, sans retard injustifié, le délégué à la protection des données de l’Agence (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne la date à laquelle le DPD a été informé dans le registre. L’ENISA associe le DPD à toutes les procédures pertinentes et la participation du DPD est documentée.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.
3. Le responsable du traitement informe le DPD lorsque la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à l’information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
i) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
L’ENISA inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet pour informer les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. En outre, sans préjudice des dispositions du paragraphe 3 du présent article, l’ENISA informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, sans retard injustifié et par écrit.
3. Lorsque l’ENISA limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2 du présent article, elle consigne dans un relevé les motifs de la limitation et la base juridique de la limitation conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de la nécessité et de la proportionnalité de la limitation.
Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
4. La limitation visée au paragraphe 3 du présent article continue de s’appliquer tant que les raisons la justifiant persistent.
Lorsque les raisons de la limitation ne s’appliquent plus, l’ENISA fournit des informations à la personne concernée sur les principales raisons sur lesquelles l’application d’une limitation est fondée. Dans le même temps, l’ENISA informe la personne concernée de son droit de saisir le Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
L’ENISA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
Article 6
Droit d’accès de la personne concernée
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit d’accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
i) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, l’ENISA limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque l’ENISA limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:
|
a) |
elle informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
elle consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée. |
La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
L’ENISA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
3. Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit de rectification, d’effacement et de limitation peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
i) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
2. Dans le cas où l’ENISA limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement, visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, elle prend les mesures visées à l’article 6, paragraphe 2, de la présente décision et conformément à son article 6, paragraphe 3.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel et confidentialité des communications électroniques
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
le traitement de plaintes internes et externes; |
|
e) |
les audits internes; |
|
f) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
g) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
h) |
l’évaluation des incidents de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
2. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures formelles en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
|
g) |
l’évaluation des incidents liés de sécurité informatique effectuée par l’ENISA conformément à l’article 7, paragraphe 4, du règlement (UE) 2019/881, en vertu de l’article 3, paragraphe 2, de la présente décision. |
3. Dans le cas où l’ENISA limite la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, elle applique les dispositions de l’article 5, paragraphe 3, de la présente décision. L’article 5, paragraphe 4, de la présente décision s’applique.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Athènes, le 21 novembre 2019.
Pour l’ENISA
Jean-Baptiste DEMAISON
Président du conseil d’administration
(1) JO L 295 du 21.11.2018, p. 39.
(2) JO L 151 du 7.6.2019, p. 15.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/18 |
DÉCISION DU CONSEIL DE DIRECTION DE FUSION FOR ENERGY
du 9 décembre 2019
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de Fusion for Energy
LE CONSEIL DE DIRECTION,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
vu la décision 2007/198/Euratom du Conseil du 27 mars 2007 instituant une entreprise commune pour ITER et le développement de l’énergie de fusion et lui conférant des avantages (2) (ci-après «Fusion for Energy»), notamment son article 6,
vu les statuts annexés à la décision susmentionnée, notamment son article 10,
vu le statut des fonctionnaires et le régime applicable aux autres agents de l’Union européenne (le «statut»), notamment l’article 2, paragraphe 3, et l’article 30 de l’annexe IX,
vu le règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l’Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) no 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) no 1074/1999 du Conseil (3),
vu les lignes directrices du Contrôleur européen de la protection des données (CEPD) du 18 décembre 2018 et son avis du 26 juillet 2019 à la suite de la notification aux fins de l’article 41, paragraphe 2, du règlement (UE) 2018/1725,
après consultation du comité du personnel,
considérant ce qui suit:
|
(1) |
Fusion for Energy exerce ses activités conformément aux statuts annexés à la décision 2007/198/Euratom. |
|
(2) |
Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes à adopter par Fusion for Energy, lorsque celles-ci ne sont pas fondées sur des actes juridiques adoptés sur la base des traités. |
|
(3) |
Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne devraient pas s’appliquer lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées. |
|
(4) |
Lorsque Fusion for Energy exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des dérogations établies dans ledit règlement s’applique. |
|
(5) |
Dans le cadre de son fonctionnement administratif, Fusion for Energy peut mener des enquêtes administratives et des procédures disciplinaires conformément aux règles établies dans le statut. Fusion for Energy peut aussi mener des activités préliminaires particulières liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, traiter des données médicales, procéder à des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725 et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (par exemple CERT-UE). |
|
(6) |
Fusion for Energy traite plusieurs catégories de données à caractère personnel, y compris des données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou des données non vérifiées (données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci). |
|
(7) |
Fusion for Energy, représentée par son directeur, agit en qualité de responsable du traitement des données, indépendamment de toute nouvelle délégation du rôle de responsable du traitement au sein de Fusion for Energy, afin de refléter les responsabilités opérationnelles afférentes à certaines opérations spécifiques de traitement des données à caractère personnel. |
|
(8) |
Les données à caractère personnel sont conservées de manière sécurisée dans un environnement électronique ou sur un support papier qui empêche leur consultation ou transfert illicite par ou à des personnes qui n’ont pas besoin d’en connaître. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux finalités pour lesquelles elles sont traitées, pendant la période indiquée dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de Fusion for Energy. |
|
(9) |
Les règles internes devraient aussi s’appliquer aux opérations de traitement effectuées avant le lancement des procédures visées au considérant 5, au cours de ces procédures et pendant le suivi des suites données à l’issue de ces procédures. Ces règles devraient aussi couvrir l’assistance et la coopération fournies par Fusion for Energy aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives. Ces règles internes devraient aussi s’appliquer aux activités relatives à la coopération avec les institutions et organismes de l’Union européenne, et à la transmission d’informations concernant une enquête administrative ou une procédure disciplinaire à ceux-ci. À cet effet, Fusion for Energy devrait consulter ces institutions, organes, organismes, autorités ou organisations sur les motifs pertinents justifiant l’application de limitations ainsi que sur la nécessité et la proportionnalité de ces limitations. |
|
(10) |
Dans les cas où ces règles internes s’appliquent, Fusion for Energy doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent l’essence des libertés et droits fondamentaux. |
|
(11) |
Dans ce cadre, Fusion for Energy est tenue de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725. |
|
(12) |
Toutefois, Fusion for Energy peut être obligée de limiter la communication d’informations à la personne concernée et d’autres droits de la personne concernée afin de protéger, en particulier, ses propres enquêtes et procédures, les enquêtes et les procédures d’autres autorités publiques, ainsi que les droits d’autres personnes liées à ses enquêtes ou à d’autres procédures. |
|
(13) |
Fusion for Energy peut donc limiter la communication d’informations dans le but de protéger l’enquête ainsi que les libertés et droits fondamentaux d’autres personnes concernées. Fusion for Energy peut notamment différer la communication d’informations aux fins de la protection de ses enquêtes administratives et procédures disciplinaires, des enquêtes et des procédures d’autres autorités publiques, ainsi que de la protection de l’identité des informateurs et des autres personnes impliquées dans les procédures, y compris les lanceurs d’alerte et les témoins, qui ne devraient pas subir de répercussions négatives du fait de leur coopération. Conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725, le responsable du traitement peut différer, omettre ou refuser de communiquer à la personne concernée des informations sur les motifs justifiant l’application d’une limitation, si ces informations priveraient d’effet la limitation imposée. |
|
(14) |
Fusion for Energy devrait vérifier régulièrement que les conditions qui justifient la limitation existent toujours et lever la limitation dès lors que ces conditions ne s’appliquent plus. |
|
(15) |
Le responsable du traitement informe le délégué à la protection des données («DPD») au moment du report de l’information ou lors de l’application d’autres limitations des droits des personnes concernées, et pendant les révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles Fusion for Energy peut, dans le cadre des procédures définies au paragraphe 2, limiter l’application des droits inscrits aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4, du règlement (UE) 2018/1725, en vertu de son article 25.
2. La présente décision s’applique, dans le cadre du fonctionnement administratif de Fusion for Energy, aux opérations de traitement de données à caractère personnel effectuées par Fusion for Energy aux fins suivantes: mener des enquêtes administratives et des procédures disciplinaires, réaliser des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, traiter des données médicales, réaliser des audits internes, confier la conduite d’enquêtes au délégué à la protection des données, conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (p. ex. CERT-UE).
La présente décision s’applique aussi aux activités d’assistance et de coopération fournies par Fusion for Energy aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives.
En outre, la présente décision s’applique aux activités liées à la coopération avec les institutions et organes de l’Union européenne, ainsi qu’à la transmission à ceux-ci d’informations concernant une enquête administrative ou une procédure disciplinaire, lorsque ces informations sont nécessaires pour que le destinataire puisse évaluer les motifs de l’ouverture d’une enquête ou d’une procédure formelle.
3. Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).
4. Lorsque Fusion for Energy exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des dérogations établies dans ledit règlement s’applique.
5. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties mises en place pour éviter les violations, les fuites ou la divulgation non autorisée de données sont les suivantes:
|
a) |
la conservation des documents papier dans des armoires sécurisées et accessibles au seul personnel habilité; |
|
b) |
le stockage de toutes les données électroniques dans une application informatique sécurisée, conformément aux normes de sécurité de Fusion for Energy, ainsi que dans des dossiers électroniques spécifiques accessibles au seul personnel habilité. Les niveaux d’accès appropriés sont accordés individuellement; |
|
c) |
la protection de la base de données par un mot de passe dans un système d’authentification unique et la connexion automatique de la base de données à l’identifiant et au mot de passe de l’utilisateur. Le remplacement d’utilisateurs est strictement interdit. Les enregistrements électroniques sont conservés en toute sécurité afin de préserver la confidentialité et le caractère privé des données qu’ils contiennent; |
|
d) |
toutes les personnes ayant accès aux données sont tenues de respecter l’obligation de confidentialité. |
2. Fusion for Energy fait office de responsable des opérations de traitement; elle est représentée par son directeur, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de Fusion for Energy.
3. La durée de conservation des données à caractère personnel visées à l’article 1, paragraphe 3 n’est pas plus longue que nécessaire et appropriée aux finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 5, paragraphe 1.
4. Lorsque Fusion for Energy envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures de Fusion for Energy, notamment par la destruction de preuves. Les risques pour les droits et libertés d’autres personnes concernées concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.
Article 3
Limitations
1. Fusion for Energy n’appliquera une limitation que pour sauvegarder:
|
a) |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
|
b) |
d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale; |
|
c) |
la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques; |
|
d) |
la protection de l’indépendance de la justice et des procédures judiciaires; |
|
e) |
la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
|
f) |
une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à c); |
|
g) |
la protection de la personne concernée ou des droits et libertés d’autrui; |
|
h) |
l’exécution des demandes de droit civil. |
2. Aux fins spécifiques de l’application des finalités énoncées au paragraphe 1 ci-dessus, Fusion for Energy peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d’autres institutions, organes et organismes de l’Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:
|
a) |
lorsque l’exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d’autres institutions, organes et organismes de l’Union sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’Union; |
|
b) |
lorsque l’exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (4) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (5); |
|
c) |
lorsque l’exercice de ces droits et obligations pourrait compromettre la coopération de Fusion for Energy avec les pays tiers ou les organisations internationales dans l’accomplissement de ses missions. |
Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, Fusion for Energy consulte les services compétents de la Commission, les institutions, organes et organismes concernés de l’Union ou les autorités compétentes des États membres, à moins qu’il ne soit manifeste pour Fusion for Energy que l’application d’une limitation est prévue par l’un des actes visés à ces points.
3. Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte l’essence des libertés et droits fondamentaux dans une société démocratique.
4. Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
5. Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.
Article 4
Réexamen par le délégué à la protection des données
1. Fusion for Energy (le responsable du traitement) informe, sans retard injustifié, son délégué à la protection des données (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne la date à laquelle le DPD a été informé dans le registre.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.
3. Le responsable du traitement informe le DPD lorsque la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit à l’information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (p. ex. CERT-UE). |
Fusion for Energy inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet pour informer les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Les informations portent sur les droits susceptibles de faire l’objet de limitations.
2. Sans préjudice des dispositions du paragraphe 3, Fusion for Energy informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, sans retard injustifié et par écrit.
3. Lorsque Fusion for Energy limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2, elle consigne les motifs et la base juridique de la limitation, conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de sa nécessité et de sa proportionnalité.
Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.
4. La limitation visée au paragraphe 3 continue de s’appliquer tant que les raisons la justifiant persistent.
Fusion for Energy informe la personne concernée des principales raisons qui motivent l’application d’une limitation. Dans le même temps, Fusion for Energy informe la personne concernée de son droit de déposer une réclamation auprès du Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
Fusion for Energy examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
Article 6
Droit d’accès de la personne concernée
1. Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit d’accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
le traitement de données médicales, uniquement dans des cas spécifiques justifiés (6); |
|
g) |
les audits internes; |
|
h) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
i) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (p. ex. CERT-UE). |
Lorsque les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, Fusion for Energy limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque Fusion for Energy limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:
|
a) |
elle informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de déposer une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
elle consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée. |
La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
Fusion for Energy examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
3. Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
1. Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit de rectification, d’effacement et de limitation peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
le traitement de données médicales, uniquement dans des cas spécifiques justifiés (7); |
|
g) |
les audits internes; |
|
h) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
i) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (p. ex. CERT-UE). |
2. Dans le cas où Fusion for Energy limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement et du droit à la limitation du traitement prévus à l’article 18, à l’article 19, paragraphe 1, et à l’article 20, paragraphe 1, du règlement (UE) 2018/1725, l’article 6, paragraphes 2 et 3, de la présente décision s’applique.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel et confidentialité des communications électroniques
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures (formelles et informelles) en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les audits internes; |
|
g) |
les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
|
h) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (p. ex. CERT-UE). |
2. Dans des cas dûment justifiés et dans les conditions visées dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
|
a) |
la conduite d’enquêtes administratives et de procédures disciplinaires; |
|
b) |
les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
|
c) |
les procédures de dénonciation des dysfonctionnements; |
|
d) |
les procédures formelles en cas de harcèlement; |
|
e) |
le traitement de plaintes internes et externes; |
|
f) |
les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (p. ex. CERT-UE). |
3. Dans le cas où Fusion for Energy limite la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, l’article 5, paragraphes 3 et 4, de la présente décision s’applique.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Barcelone, le 9 décembre 2019.
Pour Fusion for Energy
Joaquín SÁNCHEZ
Président du conseil de direction
(1) JO L 295 du 21.11.2018, p. 39.
(2) JO L 90 du 30.3.2007, p. 58.
(3) JO L 248 du 18.9.2013, p. 1
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(5) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(6) Ces situations sont expliquées dans l’avis sur la protection de la vie privée (par exemple accès au dossier médical en présence du médecin de F4E), une limitation générale concernant l’accès aux notes personnelles des médecins dans le cadre de la procédure d’invalidité conformément à la limitation prévue à l’article 25, paragraphe 1, point h), du nouveau règlement (la protection de la personne concernée ou des droits et libertés d’autrui).
(7) Ces situations sont expliquées dans l’avis sur la protection de la vie privée (par exemple la rectification se limite aux données administratives).
Rectificatifs
|
10.2.2020 |
FR |
Journal officiel de l’Union européenne |
L 37/26 |
Rectificatif à la décision (UE) 2020/136 de la Banque Centrale Européenne du 22 janvier 2020 concernant la libération du capital de la Banque centrale européenne par les banques centrales nationales n’appartenant pas à la zone euro et abrogeant la décision (UE) 2019/48 (BCE/2020/2)d
( «Journal officiel de l’Union européenne» L 27 I du 1er février 2020 )
Dans le sommaire et à la page 1, le titre de la décision se lit comme suit:
«Décision (UE) 2020/136 de la Banque centrale européenne du 22 janvier 2020 concernant la libération du capital de la Banque centrale européenne par les banques centrales nationales n’appartenant pas à la zone euro et abrogeant la décision (UE) 2019/48 (BCE/2020/2)».