5. Cybersécurité 5.3. Sécurité informatique et de l'information

Règlement d’exécution (UE) 2024/607 de la Commission du 15 février 2024 définissant les modalités pratiques et opérationnelles du fonctionnement du système de partage d’informations conformément au règlement (UE) 2022/2065 du Parlement européen et du Conseil

LA COMMISSION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne,
• vu le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (1), et notamment son article 85,

après consultation du comité pour les services numériques conformément à l’article 88 du règlement (UE) 2022/2065,

considérant ce qui suit:

(1) Le règlement (UE) 2022/2065 a pour objectif de garantir un espace numérique sûr pour les utilisateurs, tout en veillant au respect des droits fondamentaux. À cet effet, il impose aux fournisseurs de services intermédiaires des obligations visant à empêcher la diffusion de contenus illicites en ligne et réglemente les politiques de modération des contenus de ces fournisseurs pour ce qui concerne leurs services. L’effectivité des activités de surveillance, d’enquête, d’exécution et de contrôle concernant le respect, par ces fournisseurs, de ces obligations nécessite une coopération entre les États membres et avec la Commission, ainsi qu’un échange fluide d’informations entre les États membres et avec la Commission.

(2) À cette fin, l’article 85 du règlement (UE) 2022/2065 impose à la Commission de mettre en place et de maintenir un système de partage d’informations fiable, sûr et interopérable, ci-après «AGORA», qui facilite les communications entre les coordinateurs pour les services numériques, la Commission et le comité européen des services numériques (ci-après le «comité»). D’autres autorités compétentes peuvent se voir accorder l’accès à AGORA, lorsque cela s’avère nécessaire pour l’accomplissement des tâches qui leur sont confiées conformément au règlement (UE) 2022/2065. Les coordinateurs pour les services numériques, la Commission et le comité sont tenus d’utiliser AGORA pour toutes les communications effectuées au titre du règlement (UE) 2022/2065.

(3) AGORA est une application logicielle accessible via Internet qui sera développée par la Commission. AGORA fournit un mécanisme de communication visant à faciliter l’échange transfrontière d’informations et l’assistance mutuelle entre les coordinateurs pour les services numériques, la Commission et le comité conformément au règlement (UE) 2022/2065. En particulier, AGORA devrait aider les coordinateurs pour les services numériques, la Commission et le comité à gérer l’échange d’informations dans le cadre des activités de surveillance, d’enquête, d’exécution et de contrôle au titre du règlement (UE) 2022/2065, sur la base de procédures simples et unifiées.

(4) Le présent règlement définit les modalités pratiques et opérationnelles de création, de maintenance et de fonctionnement d’AGORA aux fins des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065, qui peuvent couvrir, entre autres, l’échange bilatéral d’informations, les procédures de notification, les mécanismes d’alerte, les accords d’assistance mutuelle et la résolution de problèmes entre les coordinateurs pour les services numériques, la Commission, le comité et d’autres autorités compétentes auxquelles l’accès à AGORA a été accordé en vertu du règlement (UE) 2022/2065 (ci-après les «acteurs d’AGORA»).

(5) Compte tenu de la dimension transfrontière et transsectorielle des services intermédiaires, une coordination et une coopération à haut niveau entre les divers acteurs concernés sont nécessaires pour garantir la cohérence des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065, ainsi que la disponibilité des informations pertinentes via AGORA à cette fin.

(6) Afin de surmonter les barrières linguistiques, il conviendrait de mettre AGORA à disposition dans toutes les langues officielles de l’Union. À cette fin, AGORA devrait proposer, pour la traduction des documents et messages échangés par son intermédiaire, les outils de traduction entièrement automatisés dont dispose actuellement la Commission. La Commission devrait fournir ces outils aux personnes physiques travaillant sous l’autorité des coordinateurs pour les services numériques, de la Commission, du comité ou d’autres autorités compétentes auxquelles l’accès à AGORA a été accordé (ci-après les «utilisateurs d’AGORA») et aux utilisateurs d’AGORA désignés en tant qu’administrateurs par les coordinateurs pour les services numériques, la Commission et le comité (ci-après les «administrateurs d’AGORA»). Les outils de traduction automatique devraient être compatibles avec les exigences de sécurité et de confidentialité applicables à l’échange d’informations dans AGORA.

(7) Afin d’exécuter leurs tâches au titre du règlement (UE) 2022/2065, les coordinateurs pour les services numériques, la Commission et le comité peuvent avoir besoin d’échanger des informations susceptibles d’inclure des données à caractère personnel. Tout échange d’informations de ce type devrait être conforme aux règles relatives à la protection des données à caractère personnel énoncées dans les règlements (UE) 2016/679 (2) et (UE) 2018/1725 (3) du Parlement européen et du Conseil. En conséquence, l’échange de données à caractère personnel nécessaire pour remplir les obligations et exécuter les tâches prévues par le règlement (UE) 2022/2065 relève du traitement licite des données au titre de l’article 5, point a), du règlement (UE) 2018/1725 et de l’article 6, paragraphe 1, point e), du règlement (UE) 2016/679.

(8) AGORA devrait être l’outil utilisé pour l’échange d’informations, y compris, le cas échéant, de données à caractère personnel, qui s’effectuerait sinon par d’autres moyens, y compris le courrier ordinaire ou le courrier électronique sur la base d’une obligation légale imposée aux coordinateurs pour les services numériques, à la Commission, au comité et aux autres autorités compétentes auxquelles l’accès à AGORA a été accordé en vertu du règlement (UE) 2022/2065. Les données à caractère personnel échangées via AGORA ne devraient être traitées qu’aux fins des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065. Lorsque des données à caractère personnel sont traitées dans le cadre du fonctionnement d’AGORA aux fins de partages d’informations, de demandes d’informations et d’accès à des informations, aux fins de répondre à des demandes de renseignements et aux fins de saisines, de demandes d’action et de demandes de soutien, les coordinateurs pour les services numériques devraient être des responsables du traitement distincts au sens du règlement (UE) 2016/679 pour les activités de traitement qu’ils accomplissent.

(9) Chaque coordinateur pour les services numériques peut également décider d’utiliser AGORA pour les activités de traitement de dossiers qu’il mène lui-même aux fins de la surveillance, des enquêtes, de l’exécution et du contrôle effectués au titre du règlement (UE) 2022/2065. Lorsque des données à caractère personnel ne sont pas admissibles à être échangées dans AGORA aux fins de partages d’informations, de demandes d’informations et d’accès à des informations, aux fins de répondre à des demandes de renseignements et aux fins de saisines, de demandes d’action et de demandes de soutien, chaque coordinateur pour les services numériques et, le cas échéant, les autres autorités compétentes auxquelles l’accès à AGORA a été accordé devraient être seuls responsables du traitement au sens du règlement (UE) 2016/679 et du règlement (UE) 2018/1725 en ce qui concerne les activités de traitement des données effectuées au moyen d’AGORA.

(10) La transmission, la conservation et les autres opérations de traitement de données à caractère personnel de personnes physiques devraient s’effectuer dans AGORA pour faciliter les communications entre les acteurs d’AGORA aux fins des activités de traitement de dossiers que ceux-ci mènent dans le cadre de la surveillance, des enquêtes, de l’exécution et du contrôle effectués au titre du règlement (UE) 2022/2065.

(11) AGORA devrait traiter les données à caractère personnel dans la mesure strictement nécessaire aux activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065. AGORA devrait traiter les données à caractère personnel, telles que les données d’identification (par exemple, nom, surnom, pseudonyme, date de naissance, lieu de naissance, nationalité, documents d’identification et, le cas échéant, d’autres caractéristiques susceptibles de contribuer à l’identification), les coordonnées (par exemple, adresse professionnelle et privée, adresse électronique et numéro de téléphone), les données relatives au rôle joué dans un dossier (par exemple, le poste et la fonction de la personne physique dans une entreprise, ou d’autres rôles comme celui de suspect, victime, lanceur d’alerte, informateur et témoin), les données relatives au dossier (par exemple, document, image, vidéo, enregistrement vocal, déclaration, avis et procès-verbal) et toute autre information jugée nécessaire pour satisfaire aux exigences du règlement (UE) 2022/2065.

(12) Conformément aux principes de protection des données dès la conception et par défaut, AGORA devrait être développé et conçu dans le respect des exigences de la législation en matière de protection des données, notamment en raison des restrictions imposées à l’accès aux données à caractère personnel échangées dans AGORA. Par conséquent, AGORA devrait offrir un niveau de protection et de sécurité nettement supérieur à celui des autres méthodes d’échange d’informations, comme le téléphone, le courrier ordinaire, ou le courrier électronique.

(13) La Commission devrait fournir et gérer les logiciels et l’infrastructure informatique d’AGORA, en assurer la fiabilité, la sécurité, la disponibilité, la maintenance et le fonctionnement, et participer à la formation et à l’assistance technique des administrateurs d’AGORA et des utilisateurs d’AGORA.

(14) La compétence des États membres pour décider quelles autorités nationales remplissent les obligations découlant du présent règlement devrait être exercée conformément à l’article 49 et à l’article 62 du règlement (UE) 2022/2065. Les États membres devraient être en mesure d’adapter les fonctions et responsabilités liées à AGORA en fonction de leurs structures administratives internes, et de mettre en oeuvre dans AGORA un type spécifique de travail ou d’y décider de l’ordre des étapes d’un processus de travail donné.

(15) Chaque coordinateur pour les services numériques devrait désigner et notifier à la Commission au moins un administrateur d’AGORA dans son État membre pour les questions relatives à AGORA. Il convient que chaque coordinateur pour les services numériques soit également responsable de la désignation des administrateurs d’AGORA de ses autorités compétentes respectives auxquelles l’accès à AGORA a été accordé en vertu du règlement (UE) 2022/2065. Chaque administrateur d’AGORA devrait enregistrer, accorder et retirer l’accès à AGORA à ses propres utilisateurs d’AGORA. Afin de parvenir à une coopération efficace en matière d’activités de surveillance, d’enquête, d’exécution et de contrôle concernant les services qui relèvent du champ d’application du règlement (UE) 2022/2065 par l’intermédiaire d’AGORA, les États membres devraient veiller à ce que leurs administrateurs d’AGORA et leurs utilisateurs d’AGORA respectifs disposent des ressources nécessaires pour remplir leurs obligations conformément à l’article 50, paragraphe 1, du règlement (UE) 2022/2065.

(16) Les informations que reçoivent un coordinateur pour les services numériques, la Commission, le comité ou une autre autorité compétente à laquelle l’accès à AGORA a été accordé, via AGORA et provenant d’un autre coordinateur pour les services numériques, de la Commission, du comité ou d’une autre autorité compétente du même type, ne devraient pas être privées de leur valeur en tant qu’éléments de preuve dans le cadre de procédures pénales, civiles ou administratives conformément au droit de l’Union et au droit national applicables au seul motif qu’elles proviennent d’un autre État membre, ou ont été reçues par voie électronique, et elles devraient être traitées par l’acteur d’AGORA concerné de la même manière que des documents similaires provenant de son État membre.

(17) Il devrait être possible de traiter le nom et les coordonnées des administrateurs d’AGORA et des utilisateurs d’AGORA au regard des objectifs du règlement (UE) 2022/2065 et du présent règlement, y compris pour ce qui est du contrôle de l’utilisation d’AGORA par les administrateurs d’AGORA et les utilisateurs d’AGORA, des initiatives de communication, de formation et de sensibilisation, et de la collecte d’informations dans le cadre des activités de surveillance, d’enquête, d’exécution et de contrôle concernant les services qui relèvent du champ d’application du règlement (UE) 2022/2065, ou de l’assistance mutuelle en la matière.

(18) Afin d’assurer le suivi efficace du fonctionnement d’AGORA et l’établissement de rapports à ce sujet, les coordinateurs pour les services numériques, le comité et les autres autorités compétentes auxquelles l’accès à AGORA a été accordé devraient mettre les informations pertinentes à la disposition de la Commission.

(19) Les personnes concernées devraient être informées du traitement de leurs données à caractère personnel dans AGORA et des droits dont elles jouissent, tels que le droit d’accéder aux données les concernant ainsi que le droit d’obtenir la rectification des données inexactes et l’effacement des données traitées illégalement, conformément au règlement (UE) 2016/679 et au règlement (UE) 2018/1725.

(20) Chaque acteur d’AGORA, en tant que responsable du traitement pour ce qui est des activités de traitement des données qu’il effectue dans le cadre de la surveillance, des enquêtes, de l’exécution et du contrôle concernant les services qui relèvent du champ d’application du règlement (UE) 2022/2065, devrait veiller à ce que les personnes concernées puissent exercer leurs droits conformément au règlement (UE) 2016/679 et au règlement (UE) 2018/1725. Il convient, notamment, de mettre en place une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

(21) La mise en oeuvre du présent règlement et les performances d’AGORA devraient faire l’objet d’un suivi dans le rapport sur le fonctionnement d’AGORA, établi sur la base des données statistiques d’AGORA et de toute autre donnée pertinente. La Commission devrait soumettre ce rapport au Parlement européen, au Conseil et au Contrôleur européen de la protection des données Il convient que les performances des coordinateurs pour les services numériques, du comité et des autres autorités compétentes auxquelles l’accès à AGORA a été accordé soient évaluées, entre autres, sur la base des délais de réponse moyens, dans le but de garantir des réponses efficaces et adéquates. Ce rapport devrait également aborder les aspects liés à la protection des données à caractère personnel dans AGORA, y compris la sécurité des données.

(22) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 4 janvier 2024,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I
DISPOSITIONS GÉNÉRALES

Article premier
Objet et champ d’application

Le présent règlement définit les modalités pratiques et opérationnelles du fonctionnement d’un système fiable et sûr de partage d’informations, ci-après dénommé «AGORA», pour les activités de surveillance, d’enquête, d’exécution et de contrôle au titre du règlement (UE) 2022/2065.

Article 2
Système de partage d’informations

1. Il est institué un système de partage d’informations dénommé AGORA.

2. AGORA est une application logicielle accessible via l’internet; ce système constitue l’outil utilisé pour l’échange d’informations, y compris, le cas échéant, de données à caractère personnel, qui s’effectuerait sinon par d’autres moyens, y compris le courrier ordinaire ou le courrier électronique.

3. AGORA est utilisé pour l’échange d’informations, y compris l’échange d’informations contenant des données à caractère personnel, entre les coordinateurs pour les services numériques, la Commission et le comité européen des services numériques (ci-après le «comité»), ainsi qu’avec d’autres autorités compétentes qui se voient accorder l’accès à AGORA pour l’accomplissement des tâches qui leur sont confiées conformément au règlement (UE) 2022/2065, dans le contexte des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre dudit règlement.

Article 3
Définitions

Aux fins du présent règlement, outre les définitions figurant à l’article 3 et à l’article 49, paragraphe 1, du règlement (UE) 2022/2065, à l’article 4 du règlement (UE) 2016/679 et à l’article 3 du règlement (UE) 2018/1725, on entend par:

• a) «AGORA», le système de partage d’informations mis en place et maintenu par la Commission pour soutenir toutes les communications qui ont lieu au titre du règlement (UE) 2022/2065 entre les acteurs d’AGORA aux fins des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre dudit règlement;
• b) «acteurs d’AGORA», les coordinateurs pour les services numériques, la Commission, le comité ou d’autres autorités compétentes qui se voient ou peuvent se voir accorder un accès à AGORA si nécessaire pour mener à bien les tâches qui leur sont confiées conformément au règlement (UE) 2022/2065;
• c) «utilisateur d’AGORA», une personne physique travaillant sous l’autorité d’un acteur d’AGORA, et enregistrée en tant que telle dans AGORA, aux fins de l’accomplissement des tâches confiées à l’acteur d’AGORA par le règlement (UE) 2022/2065;
• d) «administrateur d’AGORA», un utilisateur d’AGORA désigné par un acteur d’AGORA aux fins de la gestion d’AGORA pour cet acteur.

CHAPITRE II
FONCTIONS ET RESPONSABILITÉS RELATIVES À AGORA

Article 4
Responsabilités de la Commission

1. La Commission est chargée d’exécuter les tâches suivantes en ce qui concerne AGORA:

• a) fournir le système AGORA dans toutes les langues officielles de l’Union et assurer la maintenance d’AGORA;
• b) garantir la fiabilité, la sécurité, la disponibilité, la maintenance et le développement des logiciels et infrastructures informatiques d’AGORA;
• c) proposer des outils de traduction automatique pour la traduction des documents et messages échangés par l’intermédiaire d’AGORA;
• d) apporter un soutien aux autres acteurs d’AGORA en ce qui concerne l’utilisation d’AGORA;
• e) enregistrer au moins un administrateur d’AGORA pour le compte de chaque coordinateur pour les services numériques et du comité, et leur accorder l’accès à AGORA;
• f) désigner au moins un administrateur d’AGORA;
• g) effectuer des opérations de traitement de données à caractère personnel dans AGORA, lorsque le présent règlement le prévoit, aux fins des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065;
• h) assurer l’audit, le contrôle, et la préparation des rapports nécessaires à l’audit et au contrôle d’AGORA au titre du règlement (UE) 2022/2065;
• i) fournir des connaissances, des formations et un soutien, y compris une assistance technique, aux administrateurs d’AGORA;
• j) assurer le suivi des performances de tous les autres acteurs d’AGORA au titre du présent règlement, conformément à l’article 15.

2. Afin d’assister la Commission dans l’exécution des tâches énumérées au paragraphe 1, les autres acteurs d’AGORA fournissent à la Commission des informations relatives aux opérations qu’ils effectuent dans AGORA.

Article 5
Traitement des données à caractère personnel par la Commission

1. La Commission est un sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725 en ce qui concerne le traitement de données à caractère personnel lors de l’enregistrement d’administrateurs d’AGORA.

2. La Commission est un responsable du traitement distinct au sens de l’article 3, point 8), du règlement (UE) 2018/1725 en ce qui concerne le traitement des données à caractère personnel de ses propres administrateurs d’AGORA et de ses propres utilisateurs d’AGORA.

3. Lorsque la Commission traite des données à caractère personnel dans le cadre du fonctionnement d’AGORA aux fins de partages d’informations, de demandes d’informations et d’accès à des informations et aux fins de demandes d’action et de demandes de soutien, elle est considérée comme un responsable du traitement, au sens de l’article 3, point 8), du règlement (UE) 2018/1725, distinct des autres acteurs d’AGORA pour les activités de traitement de données à caractère personnel qu’elle accomplit.

4. Lorsque la Commission traite des données à caractère personnel dans le cadre du fonctionnement d’AGORA pour le compte d’autres acteurs d’AGORA aux fins de partages d’informations, de demandes d’informations et d’accès à des informations et aux fins de demandes d’action et de demandes de soutien, elle est considérée comme un sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725.

5. Aux fins du présent règlement, les responsabilités de la Commission en tant que sous-traitant pour les activités de traitement de données menées dans AGORA par ces autres acteurs d’AGORA sont définies conformément à l’annexe II.

Article 6
Responsabilités des coordinateurs pour les services numériques

1. Chaque coordinateur pour les services numériques désigne, pour son État membre, au moins un administrateur d’AGORA.

2. Chaque coordinateur pour les services numériques est chargé de veiller à ce que, dans le cadre de l’exécution des tâches qui lui sont confiées conformément au règlement (UE) 2022/2065, seuls les utilisateurs d’AGORA autorisés aient accès à AGORA.

3. Chaque coordinateur pour les services numériques informe sans retard la Commission de l’administrateur d’AGORA qu’elle a désigné conformément au paragraphe 1. La Commission partage ces informations avec les autres coordinateurs pour les services numériques et le comité.

4. Chaque coordinateur pour les services numériques veille à ce que les obligations de l’administrateur d’AGORA au titre du présent règlement soient remplies.

5. Les coordinateurs pour les services numériques sont des responsables du traitement distincts au sens de l’article 4, point 7), du règlement (UE) 2016/679 en ce qui concerne le traitement des données à caractère personnel lorsqu’ils enregistrent leurs utilisateurs d’AGORA et leur donnent accès à AGORA.

6. Lorsque les coordinateurs pour les services numériques traitent des données à caractère personnel dans le cadre du fonctionnement d’AGORA aux fins de partages d’informations, de demandes d’informations et d’accès à des informations, aux fins de répondre à des demandes de renseignements et aux fins de saisines, de demandes d’action et de demandes de soutien, ils sont des responsables du traitement distincts au sens du règlement (UE) 2016/679 pour les activités de traitement qu’ils accomplissent.

7. Lorsque d’autres autorités compétentes désignées par les États membres au titre de l’article 49, paragraphe 1, du règlement (UE) 2022/2065, qui ne sont pas le coordinateur pour les services numériques, traitent des données à caractère personnel dans le cadre du fonctionnement d’AGORA, ces autorités sont des responsables du traitement distincts au sens du règlement (UE) 2016/679.

Article 7
Responsabilités du comité

1. Le comité désigne un administrateur d’AGORA. L’administrateur d’AGORA fait partie de l’appui administratif et analytique fourni au comité conformément à l’article 62, paragraphe 4, du règlement (UE) 2022/2065.

2. Le comité est chargé de veiller à ce que seuls les utilisateurs d’AGORA autorisés aient accès à AGORA.

3. Le comité informe sans retard la Commission de l’identité de son administrateur d’AGORA désigné conformément au paragraphe 1, et des tâches qui lui incombent au titre de l’article 8 du présent règlement. La Commission partage ces informations avec les coordinateurs pour les services numériques.

Article 8
Responsabilités des administrateurs d’AGORA

Les administrateurs d’AGORA sont chargés:

• a) d’enregistrer les utilisateurs d’AGORA, ainsi que d’octroyer et de retirer les accès à AGORA;
• b) d’agir en tant que principal point de contact pour la Commission pour les questions relatives à AGORA, y compris en fournissant des informations sur les aspects liés à la protection des données à caractère personnel conformément au présent règlement, au règlement (UE) 2016/679 et au règlement (UE) 2018/1725;
• c) de fournir des connaissances, des formations et un soutien, y compris une assistance technique et un service d’assistance, aux utilisateurs d’AGORA qu’ils ont enregistrés;
• d) de faire en sorte que les acteurs d’AGORA fournissent avec efficacité des réponses adéquates.

Article 9
Droits d’accès des acteurs d’AGORA

1. Les acteurs d’AGORA accordent et retirent les droits d’accès aux administrateurs d’AGORA dont ils sont responsables.

2. Seuls les administrateurs d’AGORA autorisés et les utilisateurs d’AGORA autorisés ont accès à AGORA.

3. Les acteurs d’AGORA mettent en place des moyens appropriés pour garantir que les administrateurs d’AGORA et les utilisateurs d’AGORA ne sont autorisés à accéder aux données à caractère personnel traitées dans AGORA que lorsque cela est strictement nécessaire à des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065.

4. Lorsqu’une procédure liée aux activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065 implique le traitement de données à caractère personnel, seuls les administrateurs d’AGORA et les utilisateurs d’AGORA participant à ladite procédure ont accès à ces données à caractère personnel.

Article 10
Confidentialité

1. Les États membres et la Commission appliquent chacun leurs propres règles en matière de secret professionnel, ou autres obligations de confidentialité équivalentes, à leurs administrateurs d’AGORA et à leurs utilisateurs d’AGORA, conformément à leur droit national ou au droit de l’Union.

2. Chaque acteur d’AGORA veille à ce que les administrateurs d’AGORA et les utilisateurs d’AGORA travaillant sous son autorité respectent les demandes présentées par d’autres acteurs d’AGORA de traitement confidentiel d’informations échangées dans AGORA.

CHAPITRE III
TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET SÉCURITÉ

Article 11
Traitement des données à caractère personnel dans AGORA

1. La transmission, la conservation et tout autre traitement de données à caractère personnel dans AGORA ne peuvent avoir lieu que dans la mesure où cela est nécessaire et proportionné, et uniquement aux fins suivantes:

• a) la facilitation des communications entre les acteurs d’AGORA dans le cadre de la surveillance, des enquêtes, de l’exécution et du contrôle effectués au titre du règlement (UE) 2022/2065;
• b) le traitement de dossiers par les acteurs d’AGORA dans l’exercice de leurs propres activités de surveillance, d’enquête, d’exécution et de contrôle au titre du règlement (UE) 2022/2065;
• c) la conversion commerciale et technique des données énumérées dans le présent règlement, lorsque cela est nécessaire pour permettre l’échange d’informations visé aux points a) et b).

2. Le traitement de données à caractère personnel dans AGORA ne peut avoir lieu que pour les catégories suivantes de personnes concernées:

• a) les personnes physiques dont les données à caractère personnel sont contenues dans des documents obtenus dans le cadre des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065;
• b) les administrateurs d’AGORA et les utilisateurs d’AGORA auxquels l’accès à AGORA a été accordé.

3. Le traitement de données à caractère personnel dans AGORA ne peut avoir lieu que pour les catégories suivantes de données à caractère personnel:

• a) les données d’identification, les coordonnées, les données relatives au rôle joué dans un dossier, les données relatives à un dossier et toute autre information jugée nécessaire aux activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065;
• b) le nom, l’adresse, les coordonnées, le numéro de téléphone et l’identifiant d’utilisateur des administrateurs d’AGORA et des utilisateurs d’AGORA visés au paragraphe 2, point b).

4. AGORA conserve les données à caractère personnel des catégories énumérées au paragraphe 3 et les journaux contenant les informations sur les flux et mouvements des données échangées aux fins des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065.

5. La conservation des données visée au paragraphe 2 s’effectue au moyen d’infrastructures informatiques situées dans l’Espace économique européen.

6. Chaque acteur d’AGORA veille à ce que les personnes concernées puissent exercer leurs droits conformément au règlement (UE) 2016/679 et au règlement (UE) 2018/1725 et est responsable du respect de ces règlements pour les activités de traitement des données à caractère personnel effectuées en son nom.

7. Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant chacun dans le cadre de leurs compétences respectives, assurent une surveillance coordonnée d’AGORA et de son utilisation par les administrateurs d’AGORA et les utilisateurs d’AGORA.

Article 12
Responsabilité conjointe du traitement dans AGORA

1. Les coordinateurs pour les services numériques sont les responsables conjoints du traitement, au sens de l’article 26, paragraphe 1, du règlement (UE) 2016/679, pour la transmission, la conservation et tout autre traitement de données à caractère personnel dans AGORA en lien avec les activités menées par le comité dans le cadre de la surveillance, des enquêtes, de l’exécution et du contrôle effectués au titre du règlement (UE) 2022/2065.

2. Lorsqu’une enquête conjointe est conduite conformément à l’article 60 du règlement (UE) 2022/2065 dans le cadre des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065, les coordinateurs pour les services numériques concernés sont les responsables conjoints du traitement, au sens de l’article 26, paragraphe 1, du règlement (UE) 2016/679, pour la transmission, la conservation et tout autre traitement de données à caractère personnel dans AGORA dans le contexte de cette enquête conjointe particulière.

3. Aux fins des paragraphes 1 et 2, les responsabilités sont réparties entre les responsables conjoints du traitement conformément à l’annexe I.

4. La Commission est un sous-traitant au sens de l’article 3, point 12), du règlement (UE) 2018/1725 pour le traitement des données à caractère personnel effectué pour le compte des coordinateurs pour les services numériques aux fins des activités du comité et à l’égard des enquêtes conjointes conduites en vertu de l’article 60 du règlement (UE) 2022/2065 dans le cadre des activités de surveillance, d’enquête, d’exécution et de contrôle menées au titre du règlement (UE) 2022/2065.

Article 13
Sécurité

1. La Commission met en place les mesures de pointe nécessaires pour garantir la sécurité des données à caractère personnel traitées dans AGORA, y compris des mesures appropriées de contrôle de l’accès aux données et un plan de sécurité, qui est tenu à jour.

2. La Commission prend les mesures de pointe nécessaires en cas d’incident de sécurité, prend des mesures correctives et veille à ce qu’il soit possible de vérifier quelles données à caractère personnel ont été traitées dans AGORA, quand, par qui et à quelles fins.

CHAPITRE IV
DISPOSITIONS FINALES

Article 14
Traduction

1. La Commission met AGORA à disposition dans toutes les langues officielles de l’Union et propose aux utilisateurs d’AGORA des outils de traduction machine automatique des documents et messages échangés dans AGORA.

2. Un coordinateur pour les services numériques, ou toute autre autorité compétente à laquelle l’accès à AGORA a été accordé, peut produire, en lien avec l’exécution de toute tâche qui lui a été confiée conformément au règlement (UE) 2022/2065, tous documents, informations, constatations, déclarations ou copies certifiées conformes que ce coordinateur ou cette autorité a reçus dans AGORA, sur la même base que des informations similaires obtenues dans son propre pays, à des fins compatibles avec celles pour lesquelles les données ont été initialement collectées et conformément au droit de l’Union et au droit national applicables.

Article 15
Contrôle et rapports

1. La Commission contrôle régulièrement le fonctionnement d’AGORA et évalue régulièrement ses performances.

2. Au plus tard le 17 février 2027, et tous les trois ans par la suite, la Commission présente au Parlement européen, au Conseil et au Contrôleur européen de la protection des données un rapport relatif à l’application du présent règlement. Ce rapport rend compte du contrôle et de l’évaluation effectués conformément au paragraphe 1, ainsi que des performances des acteurs d’AGORA dans le cadre d’AGORA, en vue de garantir un partage efficace de l’information ainsi que des réponses adéquates. Ce rapport traite également des aspects de la mise en oeuvre liés à la protection des données à caractère personnel dans AGORA, y compris la sécurité des données.

3. Aux fins de la production du rapport prévu au paragraphe 2, les coordinateurs pour les services numériques, le comité et les autres autorités compétentes auxquelles l’accès est accordé lorsque cela est nécessaire aux fins de l’exécution des tâches qui leur sont confiées conformément au règlement (UE) 2022/2065 fournissent chaque année à la Commission, sous forme de rapports, toutes les informations pertinentes pour l’application du présent règlement, y compris en ce qui concerne l’application des exigences en matière de protection et de sécurité des données que celui-ci prévoit.

Article 16
Coûts

1. Les coûts engagés pour la mise en place, la maintenance et l’exploitation d’AGORA sont couverts par les redevances de surveillance annuelles perçues par la Commission conformément à l’article 43, paragraphe 2, du règlement (UE) 2022/2065 et au règlement délégué (UE) 2023/1127 de la Commission (4).

2. Les coûts des opérations d’AGORA au niveau national, y compris les ressources humaines nécessaires aux activités de formation, de promotion, d’assistance technique et informatique, ainsi qu’à l’administration d’AGORA au niveau national et à toute adaptation à apporter aux réseaux et systèmes d’information nationaux, sont à la charge de l’État membre qui les engage.

Article 17
Application effective

Les États membres prennent toutes les mesures nécessaires pour garantir l’application effective du présent règlement par leurs acteurs d’AGORA.

Article 18
Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 15 février 2024.

Par la Commission
La présidente
Ursula VON DER LEYEN
                   
(1) JO L 277 du 27.10.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(4) Règlement délégué (UE) 2023/1127 de la Commission du 2 mars 2023 complétant le règlement (UE) 2022/2065 du Parlement européen et du Conseil en fixant, dans le détail, la méthode et les procédures afférentes aux redevances de surveillance imposées par la Commission aux fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne (JO L 149 du 2.3.2023, p. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

ANNEXE I
Responsabilités des coordinateurs pour les services numériques en tant que responsables conjoints du traitement pour les activités de traitement des données menées dans le cadre d’agora pour les enquêtes conjointes et pour les activités du comité

SECTION 1

Sous-section 1
Champ d’application de l’accord de responsabilité conjointe

1. L’accord de responsabilité conjointe ci-après s’applique aux coordinateurs pour les services numériques concernés lorsqu’ils mènent des enquêtes conjointes en application de l’article 60 du règlement (UE) 2022/2065.

2. L’accord de responsabilité conjointe ci-après s’applique aux coordinateurs pour les services numériques en leur qualité de membres du comité, pour les activités de traitement des données à caractère personnel réalisées par le comité, en application du règlement (UE) 2022/2065, dans le cadre de la surveillance, des enquêtes, de l’exécution et du contrôle concernant les services qui relèvent du champ d’application dudit règlement.

Sous-section 2
Attribution des responsabilités

1. Les responsables conjoints du traitement traitent les données à caractère personnel au moyen du système AGORA.

2. Les coordinateurs pour les services numériques demeurent les seuls responsables du traitement en ce qui concerne la collecte, l’utilisation, la divulgation et tout autre traitement de données à caractère personnel réalisés en dehors d’AGORA. Les coordinateurs pour les services numériques demeurent également les seuls responsables du traitement en ce qui concerne les activités de traitement de données à caractère personnel qu’ils mènent au sein d’AGORA aux fins de la surveillance, des enquêtes, de l’exécution et du contrôle concernant les services qui relèvent du champ d’application du règlement (UE) 2022/2065.

3. Chaque responsable conjoint du traitement est responsable de la conformité du traitement des données à caractère personnel effectué dans AGORA avec les articles 5, 24 et 26 du règlement (UE) 2016/679.

4. Chaque responsable du traitement met en place un point de contact doté d’une boîte aux lettres fonctionnelle qui servira à la communication entre les responsables conjoints du traitement, ainsi qu’entre ces derniers et le sous-traitant.

5. Chaque responsable conjoint du traitement apporte, sur demande, une assistance rapide et efficace aux autres responsables conjoints du traitement dans l’exécution du présent accord, en respectant toutes les exigences applicables du règlement (UE) 2016/679 et les autres règles applicables en matière de protection des données, notamment les obligations à l’égard de sa propre autorité de contrôle.

6. Les responsables conjoints du traitement définissent les modalités de travail selon lesquelles le traitement des données à caractère personnel au moyen d’AGORA aura lieu et ils fournissent des instructions établies d’un commun accord à la Commission en sa qualité de sous-traitant.

7. Les instructions à l’intention du sous-traitant sont envoyées par l’un des points de contact des responsables conjoints du traitement, en accord avec les autres responsables conjoints du traitement. Le responsable conjoint du traitement qui transmet les instructions les communique par écrit au sous-traitant et en informe tous les autres responsables conjoints du traitement. Si la question en cause est urgente au point de ne pas permettre la tenue d’une réunion des responsables conjoints du traitement, une instruction peut néanmoins être fournie, mais peut être annulée par les responsables conjoints du traitement. L’instruction est communiquée par écrit et tous les autres responsables conjoints du traitement en sont informés au moment de sa communication.

8. Les modalités de travail entre responsables conjoints du traitement ne peuvent exclure le pouvoir individuel d’aucun de ces derniers d’informer son autorité de contrôle compétente conformément aux articles 24 et 33 du règlement (UE) 2016/679. Une telle notification ne nécessite le consentement d’aucun des autres responsables conjoints du traitement.

9. Les modalités de travail entre responsables conjoints du traitement ne peuvent interdire à aucun de ces derniers de coopérer avec son autorité de contrôle compétente établie en vertu du règlement (UE) 2016/679 et du règlement (UE) 2018/1725.

10. Seules les personnes autorisées par chaque responsable conjoint du traitement ont accès aux données à caractère personnel échangées.

11. Chaque responsable conjoint du traitement tient un registre des activités de traitement effectuées sous sa responsabilité. La responsabilité conjointe du traitement est indiquée dans ledit registre.

Sous-section 3
Responsabilités et rôles en matière de traitement des demandes et d’information des personnes concernées

1. Chaque responsable du traitement fournit des informations aux personnes physiques dont les données sont traitées aux fins des enquêtes conjointes et des activités du comité menées dans le cadre de la surveillance, des enquêtes, de l’exécution et du contrôle concernant les services qui relèvent du champ d’application du règlement (UE) 2022/2065, conformément à l’article 14 du règlement (UE) 2016/679, à moins que cela ne s’avère impossible ou implique des efforts disproportionnés.

2. Chaque responsable du traitement fait office de point de contact pour les personnes physiques dont il a traité les données à caractère personnel et il traite les demandes présentées par les personnes concernées ou leurs représentants dans l’exercice de leurs droits conformément au règlement (UE) 2016/679. Si un responsable conjoint du traitement reçoit d’une personne concernée une demande qui se rapporte au traitement effectué par un autre responsable conjoint du traitement, il informe la personne concernée de l’identité et des coordonnées de ce dernier. Sur demande d’un autre responsable conjoint du traitement, les responsables conjoints du traitement se prêtent mutuellement assistance pour le traitement des demandes des personnes concernées et se répondent sans retard indu, et au plus tard dans un délai d’un mois à compter de la réception d’une demande d’assistance.

3. Chaque responsable du traitement met le contenu de la présente annexe à la disposition des personnes concernées.

SECTION 2
GESTION DES INCIDENTS DE SÉCURITÉ, NOTAMMENT DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

1. Les responsables conjoints du traitement se prêtent mutuellement assistance pour la détection et la gestion des incidents de sécurité, notamment des violations de données à caractère personnel, en lien avec le traitement de données dans AGORA.

2. En particulier, les responsables conjoints du traitement s’informent mutuellement des éléments suivants:

• a) tout risque potentiel ou réel pour la disponibilité, la confidentialité et/ou l’intégrité des données à caractère personnel faisant l’objet d’un traitement dans AGORA;
• b) toute violation de données à caractère personnel, ses conséquences probables et l’évaluation du risque pour les droits et libertés des personnes physiques, ainsi que toute mesure prise pour remédier à ladite violation et pour atténuer le risque pour les droits et libertés des personnes physiques; et
• c) toute atteinte aux garanties techniques et/ou organisationnelles du processus de traitement dans AGORA.

3. Les responsables conjoints du traitement communiquent toute violation de données à caractère personnel liée au processus de traitement dans AGORA à la Commission, aux autorités compétentes en matière de contrôle de la protection des données et, lorsqu’ils sont tenus de le faire, aux personnes concernées, conformément aux articles 33 et 34 du règlement (UE) 2016/679 ou à la suite d’une notification par la Commission.

4. Chaque responsable du traitement met en oeuvre des mesures techniques et organisationnelles appropriées, destinées à:

• a) garantir et préserver la disponibilité, l’intégrité et la confidentialité des données à caractère personnel traitées de manière conjointe;
• b) se prémunir contre le traitement, la perte, l’utilisation, la divulgation ou l’acquisition non autorisés ou illégaux de toute donnée à caractère personnel en sa possession ou contre l’accès non autorisé ou illégal à ces données; et
• c) garantir que les données à caractère personnel ne sont ni divulguées ni rendues accessibles à des personnes autres que les destinataires ou le sous-traitant.

SECTION 3
ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES

Si, afin de remplir les obligations qui lui incombent en application des articles 35 et 36 du règlement (UE) 2016/679, un responsable du traitement a besoin de s’informer auprès d’un autre responsable du traitement ou auprès du sous- traitant, il adresse une demande spécifique à la boîte fonctionnelle visée à la section 1, sous-section 2, point 4). Le destinataire met tout en oeuvre pour fournir les informations demandées.

ANNEXE II
Responsabilités de la Commission en tant que sous-traitant pour les activités de traitement des données menées dans le cadre d’agora par les coordinateurs pour les services numériques, par d’autres autorités nationales et par le comité

1. La Commission:

• a) met en place et garantit une infrastructure de communication sûre et fiable, l’AGORA, pour le compte des coordinateurs pour les services numériques, des autres autorités nationales et du comité, qui permet l’échange d’informations pour les enquêtes coordonnées, les mécanismes de contrôle de la cohérence et les activités du comité, et
• b) ne traite les données à caractère personnel que sur instruction documentée des responsables du traitement et des responsables conjoints du traitement, à moins d’être tenue d’y procéder en application du droit de l’Union ou du droit d’un État membre; dans ce cas, la Commission informe les responsables du traitement et les responsables conjoints du traitement de cette obligation légale avant de poursuivre l’activité de traitement, sauf si le droit concerné interdit la communication d’une telle information pour des motifs importants d’intérêt public.

2. Afin de remplir ses obligations en qualité de sous-traitant des coordinateurs pour les services numériques, des autres autorités nationales et du comité, la Commission peut faire appel à des tiers en tant que sous-traitants ultérieurs. En pareil cas, les responsables du traitement et les responsables conjoints du traitement autorisent la Commission à faire appel à des sous-traitants ultérieurs ou à remplacer ces derniers si nécessaire. La Commission informe les responsables du traitement et les responsables conjoints du traitement du recours à des sous-traitants ultérieurs ou du remplacement de ces derniers, pour donner ainsi aux responsables du traitement et aux responsables conjoints du traitement la possibilité de s’opposer à toute modification de ce type. La Commission veille à ce que les mêmes obligations en matière de protection des données que celles énoncées dans le présent règlement s’appliquent à ces sous-traitants ultérieurs.

3. Le traitement par la Commission comporte:

• a) l’authentification et le contrôle d’accès à l’égard de tous les administrateurs et utilisateurs d’AGORA;
• b) l’autorisation donnée aux administrateurs et utilisateurs d’AGORA de créer, de mettre à jour et de supprimer tout enregistrement et toute information contenus dans AGORA;
• c) la réception des données à caractère personnel visées à l’article 12, paragraphe 3, du présent règlement, chargées par les utilisateurs nationaux d’AGORA et les administrateurs d’AGORA, en fournissant une interface de programmation d’applications permettant à ces utilisateurs et administrateurs de charger les données pertinentes;
• d) le stockage des données à caractère personnel dans AGORA;
• e) la mise à disposition des données à caractère personnel pour accès et téléchargement par les administrateurs et utilisateurs d’AGORA et toute autre activité de traitement de données nécessaire;
• f) la suppression des données à caractère personnel à leur date d’expiration ou sur instruction du responsable du traitement qui les a communiquées;
• g) après la fin de la prestation de service, la suppression de toutes les données à caractère personnel restantes, sauf si le droit de l’Union ou le droit d’un État membre en impose le stockage.

4. La Commission prend toutes les mesures de sécurité à la pointe de la technique nécessaires sur les plans organisationnel, physique et logique pour assurer le fonctionnement d’AGORA. À cette fin, elle:

• a) désigne une entité responsable de la gestion de la sécurité d’AGORA, communique ses coordonnées aux responsables conjoints du traitement et veille à sa disponibilité pour réagir aux menaces pour la sécurité;
• b) est chargée d’assurer la sécurité d’AGORA, notamment en procédant régulièrement à des tests, des analyses et des évaluations des mesures de sécurité;
• c) veille à ce que les administrateurs d’AGORA et les utilisateurs d’AGORA auxquels est octroyé un accès au système soient soumis à une obligation de confidentialité contractuelle, professionnelle ou légale.

5. La Commission prend toutes les mesures de sécurité nécessaires pour éviter de compromettre le bon fonctionnement opérationnel d’AGORA. Il s’agit notamment des mesures suivantes:

• a) des procédures d’évaluation des risques, afin d’identifier et d’estimer les menaces potentielles pour AGORA;
• b) une procédure d’audit et de contrôle destinée:
  • à vérifier la correspondance entre les mesures de sécurité mises en oeuvre et la politique de sécurité applicable;
  • à contrôler régulièrement l’intégrité des fichiers AGORA, les paramètres de sécurité et les autorisations accordées;
  • à détecter les atteintes à la sécurité et les intrusions dans AGORA;
  • à appliquer des modifications afin de corriger les failles existantes en matière de sécurité dans AGORA;
  • à définir les conditions dans lesquelles il convient d’autoriser, notamment à la demande des responsables du traitement, la réalisation d’audits indépendants, y compris des inspections, et d’examens des mesures de sécurité, ainsi que de contribuer à ces opérations, sous réserve de conditions qui respectent le protocole n°7 du traité sur le fonctionnement de l’Union européenne relatif aux privilèges et immunités de l’Union européenne;
• c) une modification de la procédure de contrôle, afin de documenter et de mesurer l’incidence des modifications avant leur mise en oeuvre, et de tenir les responsables du traitement et les responsables conjoints du traitement informés de toute modification susceptible d’affecter la communication avec AGORA et/ou la sécurité de ce système;
• d) une procédure de maintenance et de réparation, afin de préciser les règles et les conditions à respecter lors de la maintenance et/ou de la réparation des équipements d’AGORA;
• e) une procédure relative aux incidents de sécurité, afin de définir le système de signalement et d’escalade, d’informer sans délai les responsables du traitement concernés, d’informer sans délai les responsables du traitement pour qu’ils avertissent les autorités nationales de contrôle de la protection des données de toute violation de données à caractère personnel, et de définir une procédure disciplinaire pour les atteintes à la sécurité dans AGORA.

6. La Commission prend des mesures de sécurité physiques et logiques à la pointe de la technique pour les installations hébergeant AGORA ainsi que pour les contrôles des données et les contrôles d’accès de sécurité s’y rapportant. À cette fin, elle:

• a) assure la sécurité physique, afin de mettre en place des périmètres de sécurité distincts et de permettre la détection des atteintes dans AGORA;
• b) contrôle l’accès aux installations d’AGORA et tient un registre des visiteurs d’AGORA à des fins de suivi;
• c) veille à ce que les personnes extérieures auxquelles l’accès aux locaux est accordé soient accompagnées par du personnel dûment autorisé;
• d) veille à ce qu’aucun équipement ne puisse être ajouté, remplacé ou retiré sans l’autorisation préalable des organismes compétents désignés;
• e) contrôle l’accès depuis et vers AGORA;
• f) veille à ce que les administrateurs et utilisateurs d’AGORA qui accèdent à ce dernier soient identifiés et authentifiés;
• g) réexamine les droits d’autorisation relatifs à l’accès à AGORA, en cas d’atteinte à la sécurité touchant le système;
• h) préserve l’intégrité des informations transmises par l’intermédiaire d’AGORA;
• i) met en oeuvre des mesures de sécurité d’ordre technique et organisationnel afin d’empêcher l’accès non autorisé aux données à caractère personnel dans AGORA;
• j) met en oeuvre, en tant que de besoin, des mesures visant à empêcher tout accès non autorisé à AGORA (blocage d’une localisation/d’une adresse IP).

7. La Commission:

• a) prend des mesures pour protéger son domaine, y compris la rupture des connexions, en cas d’écart important par rapport aux principes et concepts de qualité ou de sécurité;
• b) maintient un plan de gestion des risques lié à son domaine de compétence;
• c) surveille, en temps réel, la performance de tous les éléments de service d’AGORA, produit des statistiques régulières et tient des registres;
• d) fournit une assistance en anglais pour AGORA aux administrateurs et utilisateurs de ce dernier;
• e) aide les responsables du traitement et les responsables conjoints du traitement, au moyen de mesures techniques et organisationnelles appropriées, à s’acquitter de leur obligation de répondre aux demandes d’exercice des droits de la personne concernée prévus au chapitre III du règlement (UE) 2016/679;
• f) aide les responsables du traitement et les responsables conjoints du traitement, en fournissant des informations sur AGORA, à remplir les obligations prévues aux articles 32, 33, 34, 35 et 36 du règlement (UE) 2016/679;
• g) veille à ce que les données traitées au sein d’AGORA soient inintelligibles pour toute personne non autorisée à y accéder;
• h) prend toutes les mesures utiles pour empêcher l’accès non autorisé aux données à caractère personnel transmises via AGORA;
• i) prendre des mesures pour faciliter la communication entre les responsables du traitement et les responsables conjoints du traitement;
• j) tient, conformément à l’article 31, paragraphe 2, du règlement (UE) 2018/1725, un registre des activités de traitement effectuées pour le compte des responsables du traitement et des responsables conjoints du traitement.