| CELEX | 32023Q1585 |
| Type | Règlement intérieur |
| Date | mercredi 17 février 2021 |
| 2.8.2023 | FR | Journal officiel de l’Union européenne | L 194/39 |
DÉCISION No 253
du conseil d’administration de l’Agence de l’Union européenne pour les chemins de fer relative aux règles internes concernant les limitations de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par l’Agence de l’Union européenne pour les chemins de fer [2023/1585]
LE CONSEIL D’ADMINISTRATION DE L’AGENCE DE L’UNION EUROPÉENNE POUR LES CHEMINS DE FER,
vu le traité sur le fonctionnement de l’Union européenne;
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25;
vu le règlement (UE) 2016/796 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour les chemins de fer et abrogeant le règlement (CE) no 881/2004 (2);
ayant consulté le Contrôleur européen de la protection des données,
considérant ce qui suit:
| (1) | L’Agence est habilitée à mener des enquêtes administratives, des procédures prédisciplinaires et disciplinaires et des procédures de suspension, conformément au statut des fonctionnaires de l’Union européenne et au régime applicable aux autres agents de l’Union européenne, définis dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (le «statut») (3), et à la décision de l’Agence du 8 juillet 2022 sur les dispositions générales d’exécution concernant la conduite des enquêtes administratives et des procédures disciplinaires. Si nécessaire, elle notifie également les cas à l’OLAF. |
| (2) | Les membres du personnel de l’Agence sont tenus de signaler toute activité potentiellement illégale, y compris la fraude et la corruption, qui portent atteinte aux intérêts de l’Union. Les membres du personnel sont également tenus de signaler une conduite en rapport avec l’exercice de fonctions professionnelles pouvant constituer un manquement grave aux obligations des fonctionnaires de l’Union. Ce principe est régi par la décision de l’Agence du 15 novembre 2018 relative aux règles internes concernant le signalement des dysfonctionnements. |
| (3) | L’Agence a mis en place une politique visant à prévenir et à traiter efficacement les cas réels ou potentiels de harcèlement moral ou sexuel sur le lieu de travail, conformément à la décision ERA-ED-690/2013 portant adoption des mesures d’exécution au titre du statut. Ladite décision établit une procédure informelle dans le cadre de laquelle la victime présumée du harcèlement peut contacter les conseillers «confidentiels» de l’Agence. |
| (4) | L’Agence peut également mener des enquêtes concernant d’éventuelles violations des règles de sécurité relatives aux informations classifiées de l’Union européenne («ICUE»), sur la base de sa politique en matière d’information et de TI adoptant des règles de sécurité visant à protéger les ICUE. |
| (5) | L’Agence fait l’objet d’audits à la fois internes et externes concernant ses activités. |
| (6) | Dans le cadre de ces enquêtes administratives, audits et enquêtes, l’Agence coopère avec d’autres institutions, organes et organismes de l’Union. |
| (7) | L’Agence peut coopérer avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou de sa propre initiative. |
| (8) | L’Agence peut également coopérer avec les pouvoirs publics des États membres de l’UE, à la demande de ceux-ci ou de sa propre initiative. |
| (9) | L’Agence est impliquée dans des affaires portées devant la Cour de justice de l’Union européenne soit pour saisir la Cour, soit pour défendre une décision de l’AEE attaquée ou pour intervenir dans des affaires relatives à ses missions. Dans ce contexte, l’Agence pourrait devoir préserver la confidentialité des données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes. |
| (10) | Pour remplir ses missions, l’Agence collecte et traite des informations et plusieurs catégories de données à caractère personnel, y compris les données d’identification de personnes physiques, les coordonnées, les fonctions et tâches professionnelles, les informations sur la conduite et les activités professionnelles et privées, ainsi que les données financières. L’Agence agit en qualité de responsable du traitement des données. |
| (11) | En vertu du règlement (UE) 2018/1725 (le «règlement»), l’Agence est donc tenue de fournir des informations aux personnes concernées au sujet de ces activités de traitement et de respecter les droits des personnes concernées. |
| (12) | L’Agence pourrait devoir concilier ces droits avec les objectifs des enquêtes administratives, des audits, des enquêtes et des procédures judiciaires. Elle peut également être amenée à mettre en balance les droits d’une personne concernée avec les libertés et droits fondamentaux d’autres personnes concernées. À cette fin, l’article 25 du règlement prévoit la possibilité pour l’Agence de limiter, dans des conditions strictes, l’application des articles 14 à 22, 35 et 36 du règlement, ainsi que de son article 4, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20. Il est nécessaire d’adopter des règles internes en vertu desquelles l’Agence est autorisée à limiter ces droits, sauf si des limitations sont prévues dans un acte juridique adopté sur la base des traités. |
| (13) | L’Agence pourrait, par exemple, devoir limiter les informations qu’elle fournit à une personne concernée sur le traitement de ses données à caractère personnel pendant la phase d’évaluation préliminaire d’une enquête administrative ou pendant l’enquête elle-même, préalablement à un classement éventuel de l’affaire ou à la phase prédisciplinaire. Dans certaines circonstances, la communication de ces informations pourrait sérieusement compromettre la capacité de l’Agence à mener l’enquête de manière efficace, lorsque, par exemple, la personne risque de détruire des preuves ou d’influencer des témoins potentiels avant que ceux-ci ne soient interrogés. En outre, l’Agence pourrait devoir protéger les droits et libertés des témoins ainsi que ceux des autres personnes concernées. |
| (14) | Il pourrait s’avérer nécessaire de protéger l’anonymat d’un témoin ou d’un lanceur d’alerte qui a demandé à ne pas être identifié. En pareil cas, l’Agence peut décider de limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de ces personnes, afin de protéger leurs droits et libertés. |
| (15) | Il pourrait s’avérer nécessaire de protéger les informations confidentielles concernant un membre du personnel qui a contacté les conseillers confidentiels de l’Agence dans le cadre d’une procédure relative au harcèlement. Dans ce cas, l’Agence pourrait devoir limiter l’accès à l’identité, aux déclarations et aux autres données à caractère personnel de la victime présumée, du harceleur présumé et des autres personnes concernées, afin de protéger les droits et libertés de toutes les personnes concernées. |
| (16) | Les limitations appliquées par l’Agence doivent toujours respecter l’essence des libertés et droits fondamentaux et constituer une mesure strictement nécessaire et proportionnée dans une société démocratique. L’Agence doit justifier ces limitations. |
| (17) | En application du principe de responsabilité, l’Agence doit tenir un registre relatif à son application des limitations. |
| (18) | Lorsqu’elle traite des données à caractère personnel échangées avec d’autres organisations dans le cadre de ses missions, l’Agence et ces organisations doivent se consulter sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité de ces limitations, à moins que cela ne compromette les activités de l’Agence. |
| (19) | L’article 25, paragraphe 6, du règlement impose au responsable du traitement d’informer les personnes concernées des principales raisons qui motivent l’application de la limitation et de leur droit de saisir le CEPD. |
| (20) | Conformément à l’article 25, paragraphe 8, du règlement, l’Agence est autorisée à différer, à omettre ou à refuser la communication d’informations sur les motifs de l’application d’une limitation à la personne concernée si cela prive d’effet, de quelque manière que ce soit, la limitation imposée. L’Agence doit évaluer au cas par cas si la communication des informations prive d’effet la limitation imposée. |
| (21) | L’Agence doit lever la limitation dès que les conditions qui la justifient ne s’appliquent plus et évaluer régulièrement ces conditions. |
| (22) | Afin de garantir la plus grande protection des droits et libertés des personnes concernées et conformément à l’article 44, paragraphe 1, du règlement, le délégué à la protection des données (DPD) doit être informé en temps utile de toute limitation qui peut être appliquée et vérifier sa conformité avec la présente décision. |
| (23) | L’article 16, paragraphe 5, et l’article 17, paragraphe 4, du règlement prévoient des exceptions au droit à l’information et au droit d’accès des personnes concernées. Si ces exceptions s’appliquent, l’Agence ne doit pas appliquer une limitation en vertu de la présente décision, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles l’Agence peut limiter l’application des articles 4, 14 à 22, 35 et 36, conformément à l’article 25 du règlement.
2. L’Agence, en sa qualité de responsable du traitement, est représentée par son directeur exécutif.
Article 2
Limitations
1. L’Agence peut limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 du règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 20:
| a) | conformément à l’article 25, paragraphe 1, points b), c), f), g) et h), du règlement, lorsqu’elle mène des enquêtes administratives, des procédures prédisciplinaires et disciplinaires ou des procédures de suspension en vertu de l’article 86 et de l’annexe IX du statut et en vertu de la décision no 297 du conseil d’administration de l’Agence (4), ainsi que lorsqu’elle notifie les cas à l’OLAF; |
| b) | conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle fait en sorte que les membres du personnel de l’Agence puissent, à titre confidentiel, communiquer des faits lorsqu’ils estiment qu’il existe de graves irrégularités, comme prévu dans la décision no 183 du conseil d’administration de l’Agence (5) relative au signalement des dysfonctionnements et dans la décision no 8 (6) relative aux enquêtes internes; |
| c) | conformément à l’article 25, paragraphe 1, point h), du règlement, lorsqu’elle veille à ce que les membres du personnel de l’Agence soient en mesure de faire rapport aux conseillers confidentiels dans le cadre d’une procédure de harcèlement, telle que définie par la décision ERA-ED-690-2013 de l’Agence (7); |
| d) | conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle mène des audits internes portant sur les activités ou les départements de l’Agence; |
| e) | conformément à l’article 25, paragraphe 1, points c), d), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec d’autres institutions, organes et organismes de l’Union dans le cadre des activités visées aux points a) à d) du présent paragraphe et conformément aux dispositions des accords de niveau de service, des protocoles d’accord et des accords de coopération; |
| f) | conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance ou de la coopération mutuelles avec les autorités nationales de pays tiers et les organisations internationales, à la demande de celles-ci ou à de sa propre initiative; |
| g) | conformément à l’article 25, paragraphe 1, points c), g) et h), du règlement, lorsqu’elle apporte ou bénéficie de l’assistance et la coopération mutuelles avec les pouvoirs publics des États membres de l’Union, à la demande de ceux-ci ou de sa propre initiative; |
| h) | conformément à l’article 25, paragraphe 1, point e), du règlement, lorsqu’elle traite les données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes dans le cadre des procédures devant la Cour de justice de l’Union européenne; |
2. Toute limitation doit respecter l’essence des libertés et droits fondamentaux et constituer une mesure nécessaire et proportionnée dans une société démocratique.
3. Une évaluation de la nécessité et de la proportionnalité est effectuée au cas par cas avant l’application des limitations. Les limitations se réduisent à ce qui est strictement nécessaire pour atteindre leur objectif.
4. À des fins de responsabilité, l’Agence dépose un dossier décrivant les raisons des limitations appliquées, les motifs parmi ceux énumérés au paragraphe 1 qui s’appliquent et le résultat de l’évaluation de la nécessité et de la proportionnalité. Ces dossiers font partie d’un registre, qui est mis à la disposition du CEPD sur demande. L’Agence prépare des rapports périodiques sur l’application de l’article 25 du règlement.
5. Lorsqu’elle traite des données à caractère personnel reçues d’autres organisations dans le cadre de ses missions, l’Agence consulte lesdites organisations sur les motifs potentiels de l’imposition des limitations et sur la nécessité et la proportionnalité des limitations concernées, à moins que cela ne compromette les activités de l’Agence.
Article 3
Risques pour les droits et libertés des personnes concernées
1. Les évaluations des risques pour les droits et libertés des personnes concernées de l’imposition des limitations et les informations relatives à la durée d’application de ces limitations sont enregistrées dans le registre des activités de traitement tenu par l’Agence en vertu de l’article 31 du règlement. Elles sont également enregistrées dans les analyses d’impact relatives à la protection des données concernant ces limitations, effectuées en vertu de l’article 39 du règlement.
2. Lorsque l’Agence évalue la nécessité et la proportionnalité d’une limitation, elle tient compte des risques potentiels pour les droits et libertés de la personne concernée.
Article 4
Garanties et durées de conservation
1. L’Agence met en œuvre des garanties afin de prévenir les abus et l’accès ou le transfert illicites des données à caractère personnel pour lesquelles des limitations s’appliquent ou pourraient s’appliquer. Ces garanties comprennent des mesures techniques et organisationnelles et sont détaillées, le cas échéant, dans les décisions, procédures et dispositions d’application de l’Agence. Les garanties comprennent:
| a) | une définition claire des rôles, des responsabilités et des étapes de la procédure; |
| b) | s’il y a lieu, un environnement électronique sécurisé empêchant l’accès et le transfert illicites et accidentels de données électroniques à des personnes non autorisées; |
| c) | s’il y a lieu, le stockage et le traitement sécurisés des documents en version papier; |
| d) | un suivi approprié des limitations et un réexamen périodique de leur application. |
2. Les réexamens visés au point d) sont effectués au moins tous les six mois.
3. Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister.
4. Les données à caractère personnel sont conservées conformément aux règles de conservation en vigueur de l’Agence, à définir dans les registres concernant la protection des données tenus en vertu de l’article 31 du règlement. À la fin de la durée de conservation, les données à caractère personnel sont supprimées, rendues anonymes ou renvoyées dans des archives conformément à l’article 13 du règlement.
Article 5
Participation du délégué à la protection des données
1. Le DPD de l’Agence est informé dans les meilleurs délais dès que les droits des personnes concernées sont limités conformément à la présente décision. Il a accès aux dossiers correspondants et à tout document concernant le contexte factuel ou juridique.
2. Le DPD de l’Agence peut demander un examen de l’application d’une limitation. L’Agence informe son DPD par écrit du résultat de l’examen.
3. L’Agence documente la participation du DPD à l’application des limitations, y compris la nature des informations qui sont échangées avec lui.
Article 6
Information des personnes concernées sur les limitations de leurs droits
1. L’Agence inclut dans les avis de protection des données publiés sur son site web et/ou son intranet une section fournissant des informations générales aux personnes concernées sur les limitations potentielles des droits des personnes concernées, conformément à l’article 2, paragraphe 1. Ces informations portent sur les droits susceptibles d’être limités, les motifs pour lesquels des limitations peuvent s’appliquer, ainsi que leur durée potentielle.
2. L’Agence informe les personnes concernées individuellement de toute limitation en cours ou future de leurs droits par écrit et dans les meilleurs délais. L’Agence informe la personne concernée des principales raisons qui motivent l’application de la limitation, de son droit de consulter le DPD en vue de contester la limitation et de son droit de saisir le CEPD.
3. L’Agence peut différer, omettre ou refuser la communication d’informations sur les motifs d’une limitation et le droit de saisir le CEPD dès lors que cela priverait d’effet la limitation. L’évaluation visant à déterminer si cela est justifié se fait au cas par cas. Dès lors que cela ne prive plus d’effet la limitation, l’Agence communique les informations à la personne concernée.
Article 7
Communication à la personne concernée d’une violation de données à caractère personnel
1. Lorsque l’Agence a l’obligation de communiquer une violation de données en vertu de l’article 35, paragraphe 1, du règlement, elle peut, dans des cas exceptionnels, limiter cette communication en tout ou en partie. Elle documente dans une note les raisons de la limitation, son motif juridique en vertu de l’article 2 et une évaluation de sa nécessité et de sa proportionnalité. La note est communiquée au CEPD au moment de la notification de la violation de données à caractère personnel.
2. Lorsque les raisons de la limitation ne s’appliquent plus, l’Agence informe la personne concernée de la violation de données à caractère personnel et des principales raisons de la limitation, ainsi que de son droit de saisir le CEPD.
Article 8
Confidentialité des communications électroniques
1. Dans des circonstances exceptionnelles, l’Agence peut limiter le droit à la confidentialité des communications électroniques en vertu de l’article 36 du règlement. Ces limitations sont conformes à la directive 2002/58/CE du Parlement européen et du Conseil (8).
2. Sans préjudice de l’article 6, paragraphe 3, lorsque l’Agence restreint le droit à la confidentialité des communications électroniques, elle informe la personne concernée, dans sa réponse à une demande de la personne concernée, des principales raisons qui motivent l’application de la limitation et de son droit de saisir le CEPD.
Article 9
Entrée en vigueur
La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Pour le conseil d’administration, le 17 février 2021.
La présidente
Clio LIÉGEOIS
(1) JO L 295 du 21.11.2018, p. 39.
(2) . JO L 138 du 26.5.2016, p. 1, ci-après dénommé le «règlement relatif à l’Agence».
(3) Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).
(4) Décision no 297 du conseil d’administration de l’Agence de l’Union européenne pour les chemins de fer du 8 juillet 2022 portant dispositions générales d’exécution relatives à la conduite des enquêtes administratives et des procédures disciplinaires.
(5) Décision no 183 du conseil d’administration de l’Agence de l’Union européenne pour les chemins de fer du 15 novembre 2018 concernant les lignes directrices relatives au signalement des dysfonctionnements.
(6) Décision no 8 du conseil d’administration de l’Agence ferroviaire européenne du 17 octobre 2006 relative aux conditions et modalités des enquêtes internes en matière de lutte contre la fraude, la corruption et toute activité illégale préjudiciable aux intérêts des Communautés.
(7) Décision no 690/2013 de l’Agence ferroviaire européenne établissant une politique en matière de protection de la dignité de la personne et de lutte contre le harcèlement moral et le harcèlement sexuel.
(8) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).
Règlement intérieur (UE) 2022/513
14/12/2021
Règlement intérieur (UE) 2021/1230
12/10/2021
Règlement intérieur (UE) 2021/1119
24/09/2021
Règlement intérieur (UE) 2021/901
01/09/2021