DÉCISION DU COMITÉ DIRECTEUR DE L’ENTREPRISE COMMUNE CLEAN SKY 2
du 28 avril 2020
sur les règles internes relatives aux limitations de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre du fonctionnement de l’entreprise commune Clean Sky 2
LE COMITÉ DIRECTEUR DE L’ENTREPRISE COMMUNE CLEAN SKY 2,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
vu le règlement (UE) no 558/2014 du Conseil du 6 mai 2014 établissant l’entreprise commune Clean Sky 2 (2) (ci-après l’«ECCS2»),
vu les lignes directrices du Contrôleur européen de la protection des données (CEPD) sur l’article 25 du règlement (UE) 2018/1725 et les règles internes limitant les droits des personnes concernées (3),
après consultation du CEPD, conformément à l’article 41, paragraphe 2, du règlement (UE) 2018/1725,
considérant ce qui suit:
| 1) | L’ECCS2 exerce ses activités conformément au règlement (UE) no 558/2014. |
| 2) | Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes fixées par l’ECCS2, lorsqu’elles ne sont pas fondées sur des actes juridiques adoptés sur la base des traités. |
| 3) | Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne devraient pas s’appliquer lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées. |
| 4) | L’ECCS2 peut, dans le cadre de son fonctionnement administratif, mener des enquêtes administratives, des procédures disciplinaires et des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’Office européen de lutte antifraude (ci-après l’«OLAF»), traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, procéder à des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) internes. |
| 5) | L’ECCS2 traite plusieurs catégories de données à caractère personnel, y compris des données vérifiées (données «objectives», telles que les données d’identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et des données non vérifiées (données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci) (4). |
| 6) | L’ECCS2, représentée par son directeur exécutif, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure du rôle de responsable du traitement en son sein, afin de refléter les responsabilités opérationnelles afférentes à certaines opérations spécifiques de traitement des données à caractère personnel. |
| 7) | Les données à caractère personnel sont conservées de manière sécurisée dans un environnement électronique ou sur un support papier qui respecte les garanties requises pour empêcher leur consultation illicite ou leur transfert à des personnes qui n’ont pas le droit légitime d’accéder à ces données. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux finalités pour lesquelles elles sont traitées, pendant la période indiquée dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de l’ECCS2. |
| 8) | Ces règles internes devraient s’appliquer à toutes les opérations de traitement effectuées par l’ECCS2 dans la conduite d’enquêtes administratives, de procédures disciplinaires, d’activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, de procédures de dénonciation des dysfonctionnements, de procédures (formelles et informelles) en cas de harcèlement, dans le traitement de plaintes internes et externes, la réalisation d’audits internes, la conduite d’enquêtes par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et la conduite d’enquêtes de sécurité (informatique) réalisées en interne ou avec une participation externe (CERT-UE, par exemple). |
| 9) | Les règles internes devraient s’appliquer aux opérations de traitement effectuées avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des suites données à l’issue de ces procédures. Elles devraient aussi couvrir l’assistance et la coopération fournies par l’ECCS2 aux autorités nationales et organisations internationales en dehors de ses propres enquêtes administratives. |
| 10) | Dans les cas où ces règles internes s’appliquent, l’ECCS2 doit fournir les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent le contenu essentiel des libertés et droits fondamentaux. |
| 11) | Dans ce cadre, l’ECCS2 est tenue de respecter, dans toute la mesure du possible et dans le plein respect de la législation et des lignes directrices applicables, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725. |
| 12) | Toutefois, l’ECCS2 peut être obligée de limiter la communication d’informations aux personnes concernées et d’autres droits des personnes concernées afin de protéger, en particulier, ses propres enquêtes, les enquêtes et les procédures d’autres autorités publiques, ainsi que les droits d’autres personnes liées à ses enquêtes ou à d’autres procédures. |
| 13) | L’ECCS2 peut donc limiter la communication d’informations dans le but de protéger l’enquête ainsi que les libertés et droits fondamentaux d’autres personnes concernées. |
| 14) | L’ECCS2 devrait vérifier régulièrement que les conditions qui justifient la limitation s’appliquent et lever la limitation dès lors qu’elles cessent de s’appliquer. |
| 15) | Le responsable du traitement devrait informer le délégué à la protection des données au moment de différer la communication d’informations et lors des révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles l’ECCS2 peut, dans le cadre des procédures définies au paragraphe 2, limiter l’application des droits inscrits aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4, du règlement (UE) 2018/1725, en vertu de l’article 25 dudit règlement.
2. La présente décision s’applique, dans le cadre du fonctionnement administratif de l’ECCS2, aux opérations de traitement de données à caractère personnel que le bureau du programme effectue aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du...
