4.1. Généralités 4.1.3. Informatique et libertés
Décision (UE) 2018/1961 de la Commission du 11 décembre 2018 portant règles internes relatives à la communication d'informations aux personnes concernées et à la limitation de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins d'activités d'audit interne
| Date de signature : | 11/12/2018 | Statut du texte : | En vigueur |
| Date de publication : | 12/12/2018 | Emetteur : | |
| Consolidée le : | Source : | JOUE L315 du 12 décembre 2018 | |
| Date d'entrée en vigueur : | 11/12/2018 |
Décision (UE) 2018/1961 de la Commission du 11 décembre 2018 portant règles internes relatives à la communication d'informations aux personnes concernées et à la limitation de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins d'activités d'audit interne
LA COMMISSION,
- vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 249, paragraphe 1,
considérant ce qui suit:
(1) Le règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (1) exige que chaque institution crée une fonction d'audit interne qui est exercée dans le respect des normes internationales pertinentes. Les activités d'audit interne au sein de la Commission sont exercées par le service d'audit interne (ci-après, le «service»), qui a été institué le 11 avril 2000. Ce service mène également des activités d'audit interne dans les agences décentralisées de l'Union et les autres organes autonomes bénéficiant de contributions du budget de l'Union.
(2) Le service exerce ses activités d'audit interne conformément aux articles 117 à 123 du règlement (UE, Euratom) 2018/1046 et à sa charte de mission (2). À cet égard, le service dispose d'une indépendance totale et d'un accès complet et illimité à toute information nécessaire pour l'exercice de ses activités d'audit interne relativement à l'ensemble des activités et des services de l'institution de l'Union concernée.
(3) Le service conseille les autres services de la Commission, les agences exécutives, ainsi que les agences décentralisées de l'Union et les autres organes autonomes bénéficiant de contributions du budget de l'Union sur la manière de traiter les risques, c'est-à-dire tout événement ou problème susceptible de survenir et d'influencer négativement la réalisation des objectifs politiques, stratégiques ou opérationnels de la Commission, en formulant des avis indépendants portant sur la qualité des systèmes de gestion et de contrôle et en émettant des recommandations
pour améliorer les conditions d'exécution des opérations et promouvoir la bonne gestion financière, conformément aux articles 117 à 123 du règlement (UE, Euratom) 2018/1046. Les activités d'audit interne du service ne visent dès lors pas, en règle générale, les personnes physiques en tant que telles. Cependant, au cours de ses activités, des données à caractère personnel au sens de l'article 3, point 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (3) font inévitablement l'objet d'un traitement. Les activités d'audit interne du service consistent à apprécier l'adéquation et l'efficacité des systèmes de gestion internes ainsi que la performance des services dans la réalisation des politiques, des programmes et des actions, ainsi que l'efficience et l'efficacité des systèmes de contrôle et d'audit internes applicables à chaque opération d'exécution du budget. Elles contribuent donc à la sauvegarde d'importants intérêts économiques et financiers de l'Union et des États membres. Le service est responsable des opérations de traitement effectuées au titre de l'article 118 et de l'article 119, paragraphe 2, du règlement financier.
(4) Les activités d'audit interne effectuées au sein de la Commission et dans ses agences exécutives, ainsi que dans les agences décentralisées de l'Union et les autres organes autonomes, varient dans leur forme et leur contenu et vont des missions d'assurance (y compris les évaluations des risques) et de conseil aux examens limités et aux activités de suivi.
(5) Conformément à la charte de mission mise à jour le 21 novembre 2018 [C(2018) 7707], le comité de suivi des audits est un organe consultatif (4) qui aide la Commission à remplir les obligations qui lui incombent en vertu des traités et d'autres instruments statutaires [règlement (UE, Euratom) 2018/1046], en veillant à l'indépendance du service d'audit interne, en contrôlant la qualité des travaux d'audit interne et en veillant à ce que les recommandations d'audit interne et externe soient dûment prises en compte par les services de la Commission et à ce qu'il y soit donné suite de manière appropriée. Ce faisant, il aide la Commission à atteindre ses objectifs manière globalement plus efficace et plus efficiente et facilite la surveillance, par le collège, des pratiques de la Commission en matière de gouvernance, de gestion des risques et de contrôle interne. Le comité de suivi des audits est responsable des opérations de traitement effectuées au titre de l'article 123 du règlement financier.
(6) Aux fins de ses activités au titre de l'article 118 et de l'article 119, paragraphe 2, du règlement (UE, Euratom) 2018/1046, la Commission, agissant de sa propre initiative ou sur la base de contributions reçues, traite des données à caractère personnel obtenues ou reçues de personnes morales, de personnes physiques, d'États membres et d'instances et d'organisations internationales. Au cours de ces activités d'audit interne, le service peut également traiter des données à caractère personnel obtenues ou reçues de sources accessibles au public, de sources anonymes ou de sources identifiées dont l'identité doit être protégée.
(7) La Commission peut à son tour échanger des données à caractère personnel avec les institutions, organes et organismes de l'Union, avec les autorités compétentes des États membres et, dans le cadre d'accords internationaux ou de coopération pertinents, avec les pays tiers et les organisations internationales.
(8) Les activités de traitement de données à caractère personnel au sens de l'article 3, point 3, du règlement (UE) 2018/1725 qui sont exercées dans le cadre d'une activité d'audit interne peuvent avoir lieu avant même que la Commission n'entame formellement ladite activité d'audit interne, se poursuivre tout au long de la réalisation de l'activité d'audit et perdurer même après la clôture formelle de cette dernière (par exemple, aux fins du contrôle de la mise en œuvre de recommandations, de l'évaluation de la nécessité d'entamer de nouvelles activités d'audit interne).
(9) Les catégories de données à caractère personnel traitées par la Commission sont notamment les données d'identification, les coordonnées, les données professionnelles et les données ayant trait à l'objet de l'activité ou fournies dans ce contexte. Ces catégories de données à caractère personnel sont conservées dans un environnement électronique sécurisé afin d'empêcher tout accès ou transfert illicite de données à des personnes n'ayant aucun besoin de les connaître. Les données à caractère personnel sont conservées pendant une durée maximale de dix
ans. À la fin de la période de conservation, les informations relatives à l'activité d'audit interne, y compris les données à caractère personnel, sont transférées aux archives historiques de la Commission (5) ou détruites.
(10) Dans l'exercice des activités d'audit interne, la Commission est tenue de respecter les droits des personnes physiques en matière de traitement des données à caractère personnel, reconnus par l'article 8, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne et par l'article 16, paragraphe 1, du traité, ainsi que les droits prévus par le règlement (UE) 2018/1725. Dans le même temps, la Commission doit se conformer aux règles strictes de confidentialité visées dans les normes internationales en matière d'audit interne, conformément à l'article 117 du règlement (UE, Euratom) 2018/1046.
11) Dans certaines circonstances, il est nécessaire de concilier les droits des personnes concernées conformément au règlement (UE) 2018/1725 avec les exigences des activités d'audit interne et la confidentialité des échanges d'informations avec les personnes physiques et morales, ainsi qu'avec le plein respect des droits fondamentaux et libertés des autres personnes concernées. À cet effet, l'article 25, paragraphe 1, points c), g) et h), du règlement (UE) 2018/1725 donne à la Commission la possibilité de limiter l'application des articles 14 à 17, 19, 20 et 35, ainsi que du principe de transparence établi à l'article 4, paragraphe 1, point a), dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19, 20 et 35 dudit règlement.
(12) Afin de garantir l'efficacité des activités d'audit interne tout en respectant les normes de protection des données à caractère personnel en vertu du règlement (UE) 2018/1725, qui a remplacé le règlement (CE) n° 45/2001 du Parlement et du Conseil (6), il est nécessaire d'adopter des règles internes en vertu desquelles la Commission pourrait limiter les droits des personnes concernées conformément à l'article 25, paragraphe 1, point c), du règlement (UE) 2018/1725.
(13) Les règles internes devraient s'appliquer à toutes les opérations de traitement effectuées par la Commission dans l'exercice de ses activités d'audit interne — qu'elle agisse de sa propre initiative ou sur la base de contributions reçues — chaque fois que l'exercice des droits des personnes concernées risque de compromettre la conduite des activités d'audit interne. Ces règles devraient s'appliquer aux traitements effectués avant l'ouverture formelle d'une mission, au cours de la mission ainsi que lors du contrôle du suivi des résultats.
(14) Pour se conformer aux articles 14, 15 et 16 du règlement (UE) 2018/1725, la Commission devrait informer toutes les personnes des activités impliquant le traitement de leurs données à caractère personnel et de leurs droits de manière transparente et cohérente en publiant des avis relatifs à la protection des données sur son site internet. Le cas échéant, la Commission devrait offrir des garanties supplémentaires afin d'assurer que les personnes concernées soient informées individuellement sous une forme appropriée.
(15) Sur la base de l'article 25 du règlement (UE) 2018/1725, la Commission peut également limiter la communication d'informations aux personnes concernées et l'exercice d'autres droits des personnes concernées de façon à protéger ses propres activités d'audit interne, les audits des autorités publiques des États membres, les outils et méthodes d'audit, ainsi que les droits des autres personnes liées à ses activités d'audit interne.
(16) En outre, dans un souci d'efficacité de la coopération, la Commission peut avoir à limiter l'application des droits des personnes concernées afin de protéger les opérations de traitement des services de la Commission ou d'autres institutions, organes et organismes de l'Union ou d'autorités d'États membres et d'organisations internationales, ainsi que du comité de suivi des audits. À cet effet, la Commission devrait consulter ces services, institutions, organes et organismes et ces autorités et organisations, ainsi que le comité de suivi des audits, sur les motifs
justifiant l'application de limitations et sur la nécessité et la proportionnalité de ces dernières.
(17) La Commission peut également avoir à restreindre la communication d'informations aux personnes concernées ainsi que l'application d'autres droits des personnes concernées en ce qui concerne les données à caractère personnel reçues de pays tiers ou d'organisations internationales, afin de coopérer avec ces pays ou organisations et de protéger ainsi un objectif important d'intérêt public général de l'Union. Toutefois, dans certains cas, l'intérêt ou les droits fondamentaux de la personne concernée peuvent prévaloir sur l'intérêt de la coopération internationale.
(18) La Commission devrait traiter toutes les limitations de manière transparente et enregistrer chaque cas de limitation dans le registre correspondant.
(19) Conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725, les responsables du traitement peuvent omettre ou refuser de communiquer à la personne concernée des informations sur les motifs justifiant l'application d'une limitation ou différer la communication de ces informations si celle-ci risque de compromettre d'une quelconque manière la finalité de la limitation. C'est, en particulier, le cas des limitations des droits prévus aux articles 16 et 35 du règlement (UE) 2018/1725.
(20) Dès lors que d'autres droits des personnes concernées sont limités, le responsable du traitement du Service d'audit interne devrait évaluer au cas par cas si la communication d'informations sur la limitation risque de compromettre sa finalité.
(21) Le délégué à la protection des données de la Commission européenne devrait procéder à un examen indépendant de l'application des limitations afin de garantir le respect de la présente décision.
(22) Le règlement (UE) 2018/1725 remplace le règlement (CE) n° 45/2001, sans aucune période transitoire, à compter de la date de son entrée en vigueur. La possibilité d'appliquer des limitations à certains droits est prévue par le règlement (CE) n° 45/2001. Pour éviter de compromettre la légalité des activités d'audit interne, la présente décision devrait s'appliquer à partir de la date d'entrée en vigueur du règlement (UE) 2018/1725.
(23) Le contrôleur européen de la protection des données a rendu son avis le 27 novembre 2018,
(1) Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l'Union, modifiant les règlements (UE) n° 1296/2013, (UE) n° 1301/2013, (UE) n° 1303/2013, (UE) n° 1304/2013, (UE) n° 1309/2013, (UE) n° 1316/2013, (UE) n° 223/2014, (UE) n° 283/2014 et la décision n° 541/2014/UE, et abrogeant le règlement (UE, Euratom) n° 966/2012 (JO L 193 du 30.7.2018, p. 1).
(2) C(2017) 4435 final.
(3) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(4) Créé en octobre 2000, SEC(2000) 1808/3.
(5) La conservation des dossiers au sein de la Commission est régie par la liste commune de conservation [la dernière version est le document SEC(2012) 713], un document à valeur réglementaire structuré comme un tableau de gestion qui définit la durée de conservation des différentes catégories de dossiers de la Commission.
(6) Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d'application
1. La présente décision établit les règles que la Commission doit suivre pour informer les personnes concernées du fait que leurs données seront traitées conformément aux articles 14, 15 et 16 du règlement (UE) 2018/1725, lorsqu'elle exerce ses activités d'audit interne conformément aux articles 117 à 123 du règlement (UE, Euratom) 2018/1046.
Elle fixe également les conditions dans lesquelles la Commission peut limiter l'application des articles 4, 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, conformément à l'article 25, paragraphe 1, points c), g) et h), dudit règlement.
2. La présente décision s'applique aux opérations de traitement de données à caractère personnel effectuées par la Commission aux fins des activités qu'elle mène pour s'acquitter des tâches qui lui sont conférées par l'article 118 et l'article 119, paragraphe 2, du règlement (UE, Euratom) 2018/1046, ou en relation avec ces activités.
3. La présente décision s'applique aux opérations de traitement de données à caractère personnel au sein de la Commission, dans la mesure où la Commission traite les données à caractère personnel contenues dans les informations qu'elle est tenue de traiter aux fins des activités visées au présent article, ou en relation avec ces activités.
Article 2
Exceptions et limitations applicables
1. Lorsque la Commission remplit les obligations relatives aux droits des personnes concernées qui lui incombent en vertu du règlement (UE) 2018/1725, elle examine si l'une des exceptions établies dans ledit règlement s'applique.
2. Sous réserve des articles 3 à 7 de la présente décision, la Commission peut limiter l'application des articles 14 à 17, 19, 20 et 35 du règlement (UE) 2018/1725, ainsi que du principe de transparence établi à l'article 4, paragraphe 1, point a), dudit règlement dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 17, 19, 20 et 35 dudit règlement, dans le cas où l'exercice de ces droits et obligations compromettrait la finalité des activités que mène la Commission au titre de l'article 118 et de l'article 119, paragraphe 2, du
règlement (UE, Euratom) 2018/1046, notamment en révélant ses outils et méthodes d'audit, ou porterait atteinte aux droits et libertés d'autres personnes concernées.
3. Sous réserve des articles 3 à 7, la Commission peut limiter les droits et obligations visés au paragraphe 2 du présent article en ce qui concerne les données à caractère personnel obtenues auprès d'autres institutions, organes et organismes de l'Union, d'autorités compétentes d'États membres ou de pays tiers ou d'organisations internationales, et ce dans les cas suivants:
a) lorsque l'exercice de ces droits et obligations pourrait être limité par d'autres institutions, organes et organismes de l'Union sur la base d'autres actes prévus à l'article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement, ou en conformité avec le règlement (UE) 2016/794 du Parlement européen et du Conseil (1) ou le règlement (UE) 2017/1939 du Conseil (2);
b) lorsque l'exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l'article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l'article 13, paragraphe 3, l'article 15, paragraphe 3, ou l'article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4);
c) lorsque l'exercice de ces droits et obligations pourrait compromettre la coopération de la Commission avec les pays tiers ou les organisations internationales dans l'accomplissement d'activités d'audit interne.
Avant d'appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, la Commission consulte les institutions, organes ou organismes concernés de l'Union ou les autorités compétentes des États membres, à moins qu'il ne soit manifeste pour elle que l'application d'une limitation est prévue par l'un des actes visés à ces points, ou que cette consultation compromettrait la finalité de ses activités au titre de l'article 118 et de l'article 119, paragraphe 2, du règlement (UE, Euratom) 2018/1046.
Le point c) du premier alinéa ne s'applique pas lorsque les intérêts ou les libertés et droits fondamentaux des personnes concernées prévalent sur l'intérêt de la Commission à coopérer avec des pays tiers ou des organisations internationales.
4. Les paragraphes 1, 2 et 3 sont sans préjudice de l'application d'autres décisions de la Commission établissant des règles internes en ce qui concerne la communication d'informations aux personnes concernées et la limitation de certains droits en vertu de l'article 25 du règlement (UE) 2018/1725 ni de l'article 23 du règlement intérieur de la Commission.
Article 3
Communication d'informations aux personnes concernées
La Commission publie sur son site internet des avis relatifs à la protection des données informant toutes les personnes concernées de ses activités impliquant le traitement de leurs données à caractère personnel aux fins de ses activités au titre de l'article 118 et de l'article 119, paragraphe 2, du règlement (UE, Euratom) 2018/1046. Le cas échéant, la Commission veille à ce que les personnes concernées soient informées individuellement sous une forme appropriée.
Lorsque la Commission limite, intégralement ou partiellement, la communication d'informations aux personnes concernées dont les données sont traitées aux fins de ses activités au titre de l'article 118 et de l'article 119, paragraphe 2, du règlement (UE, Euratom) 2018/1046, elle enregistre et consigne dans un registre les motifs de la limitation conformément à l'article 6.
Article 4
Droit d'accès des personnes concernées, droit à l'effacement et droit à la limitation du traitement
1. Lorsque la Commission limite, intégralement ou partiellement, le droit d'accès des personnes concernées aux données à caractère personnel, le droit à l'effacement ou le droit à la limitation du traitement prévus respectivement aux articles 17, 19 et 20 du règlement (UE) 2018/1725, elle informe la personne concernée, dans sa réponse à la demande d'accès, d'effacement ou de limitation du traitement, de la limitation appliquée et de ses principaux motifs, et de la possibilité d'introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.
2. La communication des informations relatives aux motifs de la limitation visée au paragraphe 1 du présent article peut être différée, omise ou refusée aussi longtemps que ces informations risquent de nuire à la finalité de la limitation.
3. La Commission enregistre les motifs de la limitation conformément à l'article 6 de la présente décision.
4. Lorsque le droit d'accès est entièrement ou partiellement limité, la personne concernée exerce son droit d'accès par l'intermédiaire du Contrôleur européen de la protection des données, conformément à l'article 25, paragraphes 6, 7 et 8 du règlement (UE) 2018/1725.
Article 5
Communication aux personnes concernées de violations de données à caractère personnel
Lorsque la Commission limite la communication à la personne concernée d'une violation de données à caractère personnel prévue à l'article 35 du règlement (UE) 2018/1725, elle enregistre et consigne dans un registre les motifs de la limitation conformément à l'article 6 de la présente décision.
Article 6
Enregistrement des limitations et consignation de l'enregistrement dans un registre
La Commission enregistre les motifs de toute limitation appliquée en vertu de la présente décision, y compris une évaluation de la nécessité et de la proportionnalité de la limitation, en tenant compte des éléments pertinents visés à l'article 25, paragraphe 2, du règlement (UE) 2018/1725.
À cette fin, l'enregistrement indique de quelle manière l'exercice du droit concerné risque de compromettre la finalité des activités que mène la Commission au titre de l'article 118 et de l'article 119, paragraphe 2, du règlement (UE, Euratom) 2018/1046, ou des limitations appliquées en vertu de l'article 2, paragraphe 2 ou 3, ou de porter atteinte aux droits et libertés d'autres personnes concernées.
L'enregistrement et, le cas échéant, les documents contenant les éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.
Article 7
Durée des limitations
1. Les limitations visées aux articles 3, 4 et 5 de la présente décision continuent de s'appliquer aussi longtemps que les motifs qui les justifient restent valables.
2. Lorsque les motifs d'une limitation visée à l'article 3 ou 5 de la présente décision ne sont plus valables, la Commission lève la limitation et communique les motifs principaux de cette dernière à la personne concernée. Dans le même temps, elle informe la personne concernée de la possibilité de déposer une plainte auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.
3. La Commission examine l'application de la limitation visée aux articles 3 et 5 de la présente décision tous les six mois à compter de son adoption, ainsi qu'avant et après la clôture de l'activité d'audit interne concernée. Par la suite, la Commission vérifie la nécessité de maintenir la limitation ou le report sur une base annuelle.
Article 8
Réexamen par le délégué à la protection des données de la Commission
Le délégué à la protection des données de la Commission européenne est informé sans délai chaque fois que les droits des personnes concernées sont limités conformément à la présente décision. Il obtient sur demande l'accès à l'enregistrement et à tout document contenant des éléments factuels et juridiques sous-jacents.
Le délégué à la protection des données peut demander un réexamen de la limitation. Il est informé par écrit du résultat du réexamen demandé.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le jour de sa publication au Journal officiel de l'Union européenne.
Elle est applicable à partir du 11 décembre 2018.
Fait à Bruxelles, le 11 décembre 2018.
Par la Commission
Le président
Jean-Claude JUNCKER
(1) Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).
(2) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement
général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions
pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).