Décision (UE) 2018/1962 de la Commission du 11 décembre 2018 établissant les règles internes concernant le traitement des données à caractère personnel par l'Office européen de lutte antifraude (OLAF) en ce qui concerne la fourniture d'informations aux personnes concernées et la limitation de certains de leurs droits conformément à l'article 25 du règlement (UE) 2018/1725 du Parlement européen et du Conseil

Date de signature :11/12/2018 Statut du texte :En vigueur
Date de publication :12/12/2018 Emetteur :
Consolidée le : Source :JOUE L315 du 12 décembre 2018
Date d'entrée en vigueur :11/12/2018

Décision (UE) 2018/1962 de la Commission du 11 décembre 2018 établissant les règles internes concernant le traitement des données à caractère personnel par l'Office européen de lutte antifraude (OLAF) en ce qui concerne la fourniture d'informations aux personnes concernées et la limitation de certains de leurs droits conformément à l'article 25 du règlement (UE) 2018/1725 du Parlement européen et du Conseil

LA COMMISSION EUROPÉENNE,

considérant ce qui suit:

(1) L'Office européen de lutte antifraude (ci-après «l'Office») a été institué par la décision 1999/352/CE, CECA, Euratom de la Commission (1) en tant que service de la Commission. L'Office mène des enquêtes en toute indépendance.

(2) L'Office effectue des enquêtes administratives destinées à lutter contre la fraude, la corruption et toute autre activité illégale portant atteinte aux intérêts financiers de l'Union, conformément au règlement (UE, Euratom) n° 883/2013 du Parlement européen et du Conseil (2). À cette fin, il exerce les compétences d'enquête conférées à la Commission par les actes de l'Union concernés dans les États membres, ainsi que conformément aux accords de coopération et d'assistance mutuelle et à tout autre instrument juridique en vigueur, dans les pays tiers et dans les locaux des organisations internationales.

(3) L'Office mène aussi des enquêtes administratives à l'intérieur des institutions, organes et organismes institués par les traités ou sur la base de ces derniers. Dans le cadre de son mandat d'enquête, l'Office collecte des informations utiles pour l'enquête, y compris des données à caractère personnel, provenant de différentes sources — les pouvoirs publics, des entités privées et des personnes physiques — et les échange avec les institutions, organes et organismes de l'Union, avec les autorités compétentes des États membres et des pays tiers, ainsi qu'avec les organisations internationales avant, pendant et après l'enquête ou les activités de coordination.

(4) Dans le cadre de ses activités, l'Office traite plusieurs catégories de données à caractère personnel, en particulier des données d'identification, données professionnelles, données de contact et données relatives au rôle joué dans l'affaire. L'Office, représenté par son directeur général, agit en qualité de responsable du traitement des données. Les données à caractère personnel sont conservées dans un environnement électronique sécurisé qui empêche leur consultation ou transfert illicite par ou à des personnes qui n'ont pas besoin d'en connaître. Les données à caractère personnel traitées sont conservées pendant une période de quinze ans après le rejet du dossier ou la clôture de l'enquête ou du dossier de coordination par une décision du directeur général. À la fin de la période de conservation, les informations relatives à l'affaire, dont les données à caractère personnel, sont transférées aux archives historiques.

(5) Dans l'exercice de ses missions, l'Office est tenu de respecter les droits des personnes physiques en matière de traitement des données à caractère personnel, reconnus par l'article 8, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne et par l'article 16, paragraphe 1, du traité, ainsi que par les actes juridiques fondés sur ces dispositions. Dans le même temps, l'Office doit se conformer aux règles strictes de confidentialité et de secret professionnel visées à l'article 10 du règlement (UE, Euratom) n° 883/2013 et assurer le respect des droits procéduraux des personnes concernées et des témoins, visés à l'article 9 dudit règlement, en particulier le droit des personnes concernées à la présomption d'innocence.

(6) L'environnement électronique sécurisé dans lequel les données à caractère personnel sont stockées, ainsi que les garanties de procédure et les règles strictes en matière de confidentialité et de secret professionnel visées respectivement aux articles 9 et 10 du règlement (UE, Euratom) n° 883/2013, assurent un niveau élevé de protection contre les risques pour les droits et libertés des personnes concernées par le traitement.

(7) Dans certaines circonstances, il est nécessaire de concilier les droits des personnes concernées conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil (3) avec les exigences des enquêtes et la confidentialité des échanges d'informations avec d'autres autorités publiques compétentes, ainsi qu'avec le plein respect des droits fondamentaux et libertés des autres personnes concernées. À cet effet, l'article 25 dudit règlement laisse à l'Office la possibilité de limiter l'application des articles 14 à 22, 35 et 36, ainsi que de l'article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22.

(8) L'Office a désigné, en application de l'article 10, paragraphe 4, du règlement (UE, Euratom) n° 883/2013, un délégué à la protection des données, conformément à l'article 24 du règlement (CE) n° 45/2001 du Parlement européen et du Conseil (4).

(9) Afin de garantir la confidentialité et l'efficacité des enquêtes et autres activités opérationnelles de l'Office tout en respectant les normes de protection des données à caractère personnel en vertu du règlement (UE) 2018/1725, il est nécessaire d'adopter des règles internes en vertu desquelles l'Office pourrait limiter les droits des personnes concernées conformément à l'article 25 dudit règlement.

(10) Le champ d'application de cet acte juridique doit couvrir toutes les opérations de traitement effectuées par l'Office dans l'exercice de sa fonction d'enquête indépendante. Ces règles devraient s'appliquer aux traitements effectués avant l'ouverture d'une enquête, au cours d'enquêtes internes ou externes, comme prévu aux articles 3 et 4 du règlement (UE, Euratom) n° 883/2013, et lors du contrôle du suivi des résultats des enquêtes. Elles devraient en outre s'appliquer aux opérations de traitement qui s'inscrivent dans le cadre des activités liées à la fonction d'enquête, telles que le système de notification des fraudes, les analyses opérationnelles, les bases de données sur la coopération internationale, ainsi que les opérations qui peuvent faire intervenir des données d'enquête, comme pendant le traitement des enquêtes du DPD ou d'autres processus de plainte menés par l'Office. Ces règles devraient aussi couvrir l'assistance et la coopération fournies par l'Office aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives.

(11) Afin de se conformer aux articles 14, 15 et 16, du règlement (UE) 2018/1725, l'Office devrait informer toutes les personnes concernées de ses activités impliquant un traitement de leurs données à caractère personnel. Il devrait aussi les informer de leurs droits, de manière transparente et cohérente, sous la forme d'avis relatifs à la protection des données publiés sur le site internet de l'Office, et informer individuellement les personnes présentant un intérêt pour l'enquête — personnes concernées, témoins et informateurs — sous une forme appropriée.

(12) Sans préjudice de l'application des exceptions prévues par le règlement (UE) 2018/1725, l'Office peut avoir à limiter la fourniture d'informations aux personnes concernées, ainsi que l'application d'autres droits des personnes concernées, de façon à protéger ses propres enquêtes, les enquêtes et procédures des autorités publiques des États membres, les outils et méthodes d'enquête, ainsi que les droits d'autres personnes liées à ses enquêtes.

(13) Dans certains cas, si des informations particulières sont communiquées aux personnes concernées ou si l'existence d'une enquête est révélée, il pourrait être très difficile, voire impossible, d'atteindre la finalité de l'opération de traitement ou, pour l'Office ou les autorités nationales compétentes et les institutions, organes et organismes de l'Union, de mener une enquête efficacement par la suite.

(14) En outre, l'Office est tenu de protéger l'identité des informateurs, y compris les lanceurs d'alerte et les témoins, qui ne devraient pas subir de répercussions négatives en lien avec leur coopération avec l'Office.

(15) Pour ces raisons, l'Office peut être amené à appliquer certaines limitations visées dans l'article 25 du règlement (UE) 2018/1725, aux opérations de traitement de données effectuées dans le cadre de ses tâches énoncées à l'article 2 de la décision 1999/352/CE, CECA, Euratom.

(16) De plus, afin de maintenir une coopération efficace, l'Office peut être amené à appliquer des limitations aux droits des personnes concernées afin de protéger les informations contenant des données à caractère personnel provenant des services de la Commission ou d'autres institutions, organes et organismes de l'Union, des autorités compétentes d'États membres et de pays tiers, ainsi que d'organisations internationales. À cet effet, l'Office devrait consulter ces services, institutions, organes, organismes, autorités et organisations internationales au sujet des motifs pertinents, de la nécessité et de la proportionnalité des limitations.

(17) Dans le cadre de sa fonction d'enquête, l'Office échange souvent des informations, y compris des données à caractère personnel, avec, entre autres, des services de la Commission et des agences exécutives assistant les services de la Commission dans la mise en oeuvre de leurs programmes. Conformément à l'article 25, paragraphe 5, du règlement (UE) 2018/1725, qui impose que les règles internes soient adoptées au niveau le plus élevé de la hiérarchie des institutions, organes et organismes de l'Union concernés, la présente décision couvre le traitement des données à caractère personnel figurant dans les informations qu'ils sont tenus de transmettre à l'Office. Par conséquent, l'ensemble des services de la Commission et des agences exécutives traitant des données à caractère personnel dans le cadre de leur obligation d'informer l'Office, conformément à l'article 8, paragraphe 1, du règlement (UE, Euratom) n° 883/2013, ainsi que l'Office, s'il doit traiter ces données à caractère personnel dans l'exercice de ses fonctions, devraient appliquer les règles énoncées dans la présente décision en vue de protéger les opérations de traitement effectuées par l'Office. Dans ces circonstances, les services de la Commission et les agences exécutives concernés devraient dès lors consulter l'Office sur les motifs pertinents des limitations ainsi que sur leur nécessité et leur proportionnalité, afin d'assurer leur application cohérente.

(18) L'Office et, le cas échéant, les services de la Commission et les agences exécutives, devraient traiter toutes les limitations d'une manière transparente et consigner chaque demande de limitations dans le système d'enregistrement correspondant.

(19) Conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725, les contrôleurs peuvent différer ou omettre la communication des raisons de l'application d'une limitation à la personne concernée, si cela est susceptible de priver d'effet la limitation. En particulier, lorsqu'une limitation des droits prévus aux articles 16 et 35 est appliquée, la notification d'une telle limitation pourrait priver d'effet la limitation. Afin de garantir que le droit de la personne concernée à être informée conformément aux articles 16 et 38 du règlement (UE) 2018/1725 est limité uniquement tant que les raisons de ce report persistent, l'Office devrait régulièrement réexaminer sa position.

(20) Dès lors qu'une limitation des autres droits des personnes concernées est appliquée, le responsable du traitement devrait évaluer, au cas par cas, si la communication de la limitation est susceptible de la priver d'effet.

(21) Le délégué à la protection des données de l'Office et, le cas échéant, le délégué à la protection des données de la Commission ou de l'agence exécutive concernée, doivent également procéder à un examen indépendant de l'application des limitations, en vue d'assurer le respect de la présente décision.

(22) Le règlement (UE) 2018/1725 remplace le règlement (CE) n° 45/2001, sans aucune période transitoire, à compter de la date de son entrée en vigueur. La possibilité d'appliquer des limitations à certains droits est prévue par le règlement (CE) n° 45/2001. Pour éviter de compromettre la finalité des enquêtes relevant des missions de l'Office et de porter atteinte aux droits et libertés d'autrui, la présente décision devrait s'appliquer à partir de la date d'entrée en vigueur du règlement (UE) 2018/1725.

(23) Le Contrôleur européen de la protection des données a été consulté le 23 novembre 2018.

(1) Décision 1999/352/CE, CECA, Euratom de la Commission du 28 avril 1999 instituant l'Office européen de lutte antifraude (OLAF) (JO L 136 du 31.5.1999, p. 20).
(2) Règlement (UE, Euratom) n° 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) n° 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) n° 1074/1999 du Conseil (JO L 248 du 18.9.2013, p. 1).
(3) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(4) Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).


A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier
Objet et champ d'application

1.La présente décision établit les règles à suivre par l'Office européen de lutte antifraude (ci-après l'«Office») pour informer les personnes concernées du traitement de leurs données, conformément aux articles 14, 15 et 16 du règlement (UE) 2018/1725.

Elle établit en outre les conditions dans lesquelles l'Office peut limiter l'application de l'article 4, des articles 14 à 20 et de l'article 35 du règlement (UE) 2018/1725, conformément à l'article 25 dudit règlement.

2.La présente décision est applicable aux opérations de traitement de données à caractère personnel par l'Office aux fins des activités menées en vue d'accomplir les tâches de l'Office visées à l'article 2 de la décision 1999/352/CE, CECA, Euratom et au règlement (UE, Euratom) n° 883/2013, ou en relation avec ces activités.

3.La présente décision est applicable au traitement des données à caractère personnel par les services de la Commission et les agences exécutives dans la mesure où ils traitent les données à caractère personnel contenues dans les informations qu'ils sont tenus de transmettre à l'Office, conformément à l'article 8, paragraphe 1, du règlement (UE, Euratom) n° 883/2013 ou les données à caractère personnel déjà traitées par l'Office aux fins de ou en ce qui concerne les activités visées au paragraphe 2 du présent article.


Article 2
Exceptions et limitations applicables

1.Lorsque l'Office exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine la question de savoir si l'une des exceptions prévues par ledit règlement s'applique.

2. Sous réserve des dispositions des articles 3 à 6 de la présente décision, l'Office peut limiter l'application des articles 14 à 20 et de l'article 35 du règlement (UE) 2018/1725, ainsi que de son article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20 et à l'article 35 du règlement (UE) 2018/1725 dans le cas où l'exercice de ces droits et obligations compromettrait la finalité des activités d'enquête de l'Office, notamment en révélant ses outils et méthodes d'enquête, ou porterait atteinte aux droits et libertés d'autrui.

3. Sous réserve des dispositions des articles 3 à 6 de la présente décision, l'Office peut limiter les droits et les obligations visés au paragraphe 2 du présent article en ce qui concerne les données à caractère personnel obtenues auprès de services de la Commission ou d'autres institutions, organes et organismes de l'Union, d'autorités compétentes des États membres ou des pays tiers, ou d'organisations internationales, dans les cas suivants:

a) lorsque l'exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d'autres institutions, organes et organismes de l'Union sur la base d'autres actes prévus à l'article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d'autres institutions, organes et organismes de l'Union;

b) lorsque l'exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l'article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (1) ou en vertu de mesures nationales transposant les articles 13, paragraphe 3, 15, paragraphe 3, ou 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (2);

c) lorsque l'exercice de ces droits et obligations pourrait compromettre la coopération de l'Office avec les pays tiers ou les organisations internationales dans l'accomplissement de ses missions.

Avant d'appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l'Office consulte les services compétents de la Commission, les institutions, organes et organismes de l'Union ou les autorités compétentes des États membres à moins qu'il ne soit clair pour l'Office que l'application d'une limitation est prévue par l'un des actes visés à ces points.

Le point c) du premier alinéa ne s'applique pas lorsque les intérêts ou les libertés et droits fondamentaux des personnes concernées prévalent sur l'intérêt de l'Union à coopérer avec des pays tiers ou des organisations internationales.

4. Dans les cas où les services de la Commission et les agences exécutives traitent des données à caractère personnel dans les cas visés à l'article 1, paragraphe 3, ils peuvent, le cas échéant, appliquer des limitations conformément à la présente décision. À cette fin, ils consultent l'Office, à moins qu'il ne soit clair pour le service de la Commission ou l'agence exécutive concerné(e) que l'application d'une limitation est justifiée au titre de la présente décision.


Article 3
Communication d'informations aux personnes concernées

1. L'Office publie sur son site internet des avis relatifs à la protection des données qui informent toutes les personnes concernées de ses activités nécessitant un traitement de leurs données à caractère personnel.

2. L'Office informe individuellement toutes les personnes concernées qu'il considère comme des personnes concernées, des témoins ou des informateurs au sens du règlement (UE, Euratom) no 883/2013.

3. Lorsque l'Office limite, en tout ou en partie, la communication d'informations aux personnes concernées visées au paragraphe 2, il consigne dans un relevé les motifs de la limitation, accompagnés d'une évaluation de sa nécessité et de sa proportionnalité.

À cette fin, le relevé précise la manière dont la communication des informations compromettrait la finalité des activités d'enquête de l'Office ou des limitations appliquées conformément à l'article 2, paragraphe 3, ou dont elle porterait atteinte aux droits et libertés d'autrui.

Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.

4.Les limitations visées au paragraphe 3 continuent de s'appliquer tant que les raisons les justifiant persistent. Lorsque les raisons justifiant ces limitations cessent d'exister, l'Office fournit à la personne concernée les informations en question et les motifs de la limitation. Dans le même temps, l'Office informe la personne concernée de la possibilité de déposer une plainte auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.

L'Office examine l'application de la limitation tous les six mois à compter de son adoption et à la clôture de l'enquête en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation sur une base annuelle.


Article 4
Droit d'accès de la personne concernée

1. Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d'un ou de plusieurs cas spécifiques ou d'une opération de traitement particulière, conformément à l'article 17 du règlement (UE) 2018/1725, l'Office limite son examen de la demande à ces seules données à caractère personnel.

2. Lorsque l'Office limite, en tout ou en partie, le droit d'accès visé à l'article 17 du règlement (UE) 2018/1725, il prend les mesures suivantes:

a) il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d'introduire une plainte auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne;

b)il consigne dans un relevé les motifs de la limitation, accompagnés d'une évaluation de sa nécessité et de sa proportionnalité; à cette fin, le relevé précise la manière dont l'accès aux informations compromettrait la finalité des activités d'enquête de l'Office ou des limitations appliquées conformément à l'article 2, paragraphe 3, ou dont il porterait atteinte aux droits et libertés d'autres personnes concernées.

La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725.

3. Le relevé mentionné au paragraphe 2, point b), et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande. L'article 25, paragraphe 7, du règlement (UE) 2018/1725 s'applique.


Article 5
Droit de rectification, droit à l'effacement et droit à la limitation du traitement

Dans le cas où l'Office limite, en tout ou partie, l'application du droit de rectification, du droit à l'effacement ou du droit à la limitation du traitement, visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, il prend les mesures visées à l'article 4, paragraphe 2, de la présente décision, et enregistre le relevé conformément à son article 4, paragraphe 3.


Article 6
Communication à la personne concernée d'une violation de données à caractère personnel

Dans le cas où l'Office limite la communication d'une violation de données à caractère personnel à la personne concernée, visée à l'article 35 du règlement (UE) 2018/1725, il consigne et enregistre les raisons de cette limitation conformément à l'article 3, paragraphe 3, de la présente décision. L'article 3, paragraphe 4, de la présente décision s'applique.

Article 7
Contrôle par le délégué à la protection des données

1. Le délégué à la protection des données de l'Office (ci-après le «DPD de l'Office») est informé sans délai chaque fois que les droits des personnes concernées sont limités conformément à la présente décision. Le DPD de l'Office se voit donner l'accès au relevé et à tous les documents contenant des éléments factuels et juridiques sous-jacents.

Le DPD de l'Office peut demander un réexamen des limitations. Le DPD de l'Office est informé par écrit du résultat du réexamen demandé.

2. Dans les cas où les services de la Commission et les agences exécutives traitent des données à caractère personnel dans les cas visés à l'article 1, paragraphe 3, le délégué à la protection des données de la Commission (ci-après le «DPD de la Commission») ou, le cas échéant, le délégué à la protection des données de l'agence exécutive concernée (ci-après le «DPD de l'agence») est informé sans délai chaque fois que les droits des personnes concernées sont limités conformément à la présente décision. Sur demande, le DPD de la Commission ou, le cas échéant, le DPD de l'agence se voit donner l'accès au relevé et à tous les documents contenant des éléments factuels et juridiques sous-jacents.

Le DPD de la Commission ou, le cas échéant, le DPD de l'agence peut demander un réexamen des limitations. Le DPD de la Commission ou le DPD de l'agence est informé par écrit du résultat du réexamen demandé.

3. Tous les échanges d'informations avec le DPD tout au long de la procédure sont enregistrés sous la forme appropriée.


Article 8
Entrée en vigueur

La présente décision entre en vigueur le jour de sa publication au Journal officiel de l'Union européenne.

Elle est applicable à partir du 11 décembre 2018.

Fait à Bruxelles, le 11 décembre 2018.

Par la Commission
Le président
Jean-Claude JUNCKER

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(2) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).