Règlement intérieur32025Q01747
Décision du conseil d’administration du Centre européen de prévention et de contrôle des maladies du 27 mars 2025 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de données à caractère personnel dans le cadre du fonctionnement du Centre européen de prévention et de contrôle des maladies (ECDC)
| CELEX | 32025Q01747 |
| Type | Règlement intérieur |
| Date | jeudi 27 mars 2025 |
Résumé IA
Ce règlement intérieur du Centre européen de prévention et de contrôle des maladies (ECDC) établit les conditions dans lesquelles l'agence peut limiter les droits des personnes concernées (accès, rectification, effacement, etc.) prévus par le règlement général sur la protection des données (RGPD). Il encadre ces restrictions lorsqu'elles sont nécessaires pour protéger des intérêts publics importants, notamment la sécurité sanitaire et les enquêtes épidémiologiques. Pour un professionnel du droit français, ce texte précise le régime dérogatoire applicable aux traitements de données personnelles opérés par l'ECDC.
Texte intégral
 | Journal officiel | FR Série L |
| 2025/1747 | 14.8.2025 |
DÉCISION DU CONSEIL D’ADMINISTRATION DU CENTRE EUROPÉEN DE PRÉVENTION ET DE CONTRÔLE DES MALADIES
du 27 mars 2025
portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de données à caractère personnel dans le cadre du fonctionnement du Centre européen de prévention et de contrôle des maladies (ECDC)
LE CONSEIL D’ADMINISTRATION DU CENTRE EUROPÉEN DE PRÉVENTION ET DE CONTRÔLE DES MALADIES (ci-après l’«ECDC»)
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,
vu le règlement (CE) no 851/2004 du Parlement européen et du Conseil du 21 avril 2004 instituant un Centre européen de prévention et de contrôle des maladies (2), et notamment son article 20, paragraphe 4,
vu le règlement intérieur du conseil d’administration de l’ECDC, et notamment son article 10,
vu la décision du conseil d’administration du Centre européen de prévention et de contrôle des maladies du 9 septembre 2019 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de données à caractère personnel dans le cadre du fonctionnement du Centre européen de prévention et de contrôle des maladies,
vu l’avis du Contrôleur européen de la protection des données (ci-après le «CEPD») du 22 juillet 2019 et les orientations du CEPD sur l’article 25 du nouveau règlement et les règles internes,
après consultation du comité du personnel,
considérant ce qui suit:
| (1) | L’ECDC exerce ses activités conformément au règlement (CE) no 851/2004. |
| (2) | Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes à adopter par l’ECDC, lorsque celles-ci ne sont pas fondées sur des actes juridiques adoptés sur la base des traités. |
| (3) | Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne devraient pas s’appliquer lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées. |
| (4) | Lorsque l’ECDC exerce ses fonctions au regard des droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des dérogations établies dans ledit règlement s’applique. |
| (5) | Dans le cadre de son fonctionnement administratif, l’ECDC peut mener des enquêtes administratives, des procédures disciplinaires et des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, traiter des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, procéder à des audits internes, traiter les données de son personnel relatives à la santé, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) interne. |
| (6) | L’ECDC traite plusieurs catégories de données à caractère personnel, y compris des données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou des données non vérifiées (données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci). |
| (7) | L’ECDC, représenté par son directeur, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure de la fonction de responsable du traitement, au sein de l’ECDC, afin de tenir compte des responsabilités opérationnelles liées à des traitements spécifiques de données à caractère personnel. |
| (8) | Les données à caractère personnel sont conservées de manière sécurisée dans un environnement électronique ou sur un support papier qui empêche tout accès illicite à ces données par des personnes qui n’ont pas besoin d’en connaître ou tout transfert illicite à ces dernières. Les données à caractère personnel traitées ne sont pas conservées plus longtemps que ce qui est nécessaire et approprié aux finalités pour lesquelles elles sont traitées, pendant la période indiquée dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de l’ECDC. |
| (9) | Ces règles internes devraient s’appliquer à toutes les opérations de traitement effectuées par l’ECDC dans la conduite d’enquêtes administratives, de procédures disciplinaires, d’activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, de procédures de dénonciation des dysfonctionnements, de procédures (formelles et informelles) en cas de harcèlement, dans le traitement de plaintes internes et externes, la réalisation d’audits internes, la conduite d’enquêtes par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et la conduite d’enquêtes de sécurité (informatique) réalisées en interne ou avec une participation externe (par exemple CERT-UE), et relatives au traitement des fichiers personnels des membres du personnel. |
| (10) | Ces règles devraient s’appliquer aux opérations de traitement effectuées avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des mesures prises à l’issue de ces procédures. Elles devraient aussi couvrir l’assistance et la coopération fournies par l’ECDC aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives. |
| (11) | Dans les cas où ces règles internes s’appliquent, l’ECDC doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent le contenu essentiel des libertés et droits fondamentaux. |
| (12) | Dans ce cadre, l’ECDC est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725. |
| (13) | Toutefois, l’ECDC peut être obligé de limiter la communication d’informations à la personne concernée et d’autres droits de la personne concernée afin de protéger, en particulier, ses propres enquêtes, les enquêtes et les procédures d’autres autorités publiques, ainsi que les droits d’autres personnes liées à ses enquêtes ou à d’autres procédures. |
| (14) | L’ECDC peut donc limiter la communication d’informations dans le but de protéger l’enquête ainsi que les libertés et droits fondamentaux d’autres personnes concernées. |
| (15) | L’ECDC devrait vérifier régulièrement que les conditions qui justifient la limitation s’appliquent et lever la limitation dès lors que celles-ci cessent de s’appliquer. |
| (16) | Le responsable du traitement devrait informer le délégué à la protection des données au moment de différer la communication d’informations et lors des révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles relatives aux conditions dans lesquelles l’ECDC peut, dans le cadre des procédures définies au paragraphe 2, limiter l’application des droits inscrits aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4, du règlement (UE) 2018/1725, en vertu de son article 25.
2. La présente décision s’applique, dans le cadre du fonctionnement administratif de l’ECDC, aux opérations de traitement de données à caractère personnel effectuées par l’ECDC aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation des dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (par exemple CERT-UE) et relatives au traitement des fichiers personnels des membres du personnel (lorsque ceux-ci sont susceptibles de contenir des données de nature psychologique ou psychiatrique).
3. Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).
4. Lorsque l’ECDC exerce ses fonctions au regard des droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des dérogations établies dans ledit règlement s’applique.
5. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties mises en place pour éviter les violations, les fuites ou la divulgation non autorisée de données sont les suivantes:
| a) | la conservation des documents papier dans des armoires sécurisées et accessibles au seul personnel habilité; |
| b) | le stockage de toutes les données électroniques dans des applications informatiques sécurisées, conformément aux normes de sécurité de l’ECDC, ainsi que dans des dossiers électroniques spécifiques accessibles au seul personnel habilité. Les niveaux d’accès appropriés sont accordés individuellement; |
| c) | la protection de la base de données par un mot de passe et l’accès à celle-ci par les seuls utilisateurs habilités. Les enregistrements électroniques sont conservés en toute sécurité afin de préserver la confidentialité et le caractère privé des données qu’ils contiennent; |
| d) | toutes les personnes ayant accès aux données sont tenues de respecter l’obligation de confidentialité ou les accords de confidentialité. |
2. Le responsable du traitement est l’ECDC, représenté par son directeur, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de l’ECDC.
3. La durée de conservation des données à caractère personnel visées à l’article 1er, paragraphe 3, n’est pas plus longue que nécessaire et elle appropriée aux finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 5, paragraphe 1.
4. Lorsque l’ECDC envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures de l’ECDC, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.
Article 3
Limitations
1. L’ECDC n’appliquera une limitation que pour sauvegarder:
| a) | la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
| b) | la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques; |
| c) | la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
| d) | une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés au point a); |
| e) | la protection de la personne concernée ou des droits et libertés d’autrui; |
2. Aux fins spécifiques de l’application des finalités énoncées au paragraphe 1 ci-dessus, l’ECDC peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d’autres institutions, organes et organismes de l’Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:
| a) | lorsque l’exercice de ces droits et obligations pourrait être limité par les services de la Commission ou d’autres institutions, organes et organismes de l’Union sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’Union; |
| b) | lorsque l’exercice de ces droits et obligations pourrait être limité par les autorités compétentes des États membres sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4); |
| c) | lorsque l’exercice de ces droits et obligations pourrait compromettre la coopération de l’ECDC avec les pays tiers ou les organisations internationales dans l’accomplissement de ses missions. |
Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l’ECDC consulte les services compétents de la Commission, les institutions, organes et organismes de l’Union ou les autorités compétentes des États membres à moins qu’il ne soit clair pour l’ECDC que l’application d’une limitation est prévue par l’un des actes visés à ces points.
3. Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.
4. Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
5. Les limitations sont levées dès que les circonstances qui les justifient ne sont plus d’application. C’est le cas, en particulier, lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.
Article 4
Participation du délégué à la protection des données
1. L’ECDC consulte son délégué à la protection des données (ci-après le «DPD») à tout moment lorsqu’il examine s’il y a lieu d’appliquer les dispositions de la présente décision. La participation du DPD est consignée par écrit.
2. L’ECDC informe, sans retard injustifié, son délégué à la protection des données chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne la date à laquelle le DPD a été informé dans le registre.
3. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.
4. Le responsable du traitement informe le DPD lorsque la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à l’information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:
| a) | la conduite d’enquêtes administratives et de procédures disciplinaires; |
| b) | les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
| c) | les procédures de dénonciation des dysfonctionnements; |
| d) | les procédures (formelles et informelles) en cas de harcèlement; |
| e) | le traitement de plaintes internes et externes; |
| f) | les audits internes; |
| g) | les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
| h) | les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE). L’ECDC inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet pour informer les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle. |
2. En outre, sans préjudice des dispositions du paragraphe 3, l’ECDC informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, sans retard injustifié et par écrit.
3. Lorsque l’ECDC limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2, il consigne dans un relevé les motifs de la limitation, le fondement légal conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de sa nécessité et de sa proportionnalité.
Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous- jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
4. La limitation visée au paragraphe 3 continue de s’appliquer tant que les raisons la justifiant persistent.
Lorsque les raisons de la limitation ne s’appliquent plus, l’ECDC fournit des informations à la personne concernée sur les principales raisons sur lesquelles l’application d’une limitation est fondée. Dans le même temps, l’ECDC informe la personne concernée de la possibilité de saisir le Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.
L’ECDC réexamine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
Article 6
Droit d’accès de la personne concernée
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit d’accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
| a) | la conduite d’enquêtes administratives et de procédures disciplinaires; |
| b) | les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
| c) | les procédures de dénonciation des dysfonctionnements; |
| d) | les procédures (formelles et informelles) en cas de harcèlement; |
| e) | le traitement de plaintes internes et externes; |
| f) | les audits internes; |
| g) | les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
| h) | les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE); |
| i) | en ce qui concerne l’accès direct aux documents relatifs aux données médicales de nature psychologique ou psychiatrique figurant dans le dossier personnel des membres du personnel de l’ECDC. |
Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, l’ECDC limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque l’ECDC limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, il prend les mesures suivantes:
| a) | il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
| b) | il consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée. |
La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
L’ECDC réexamine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.
3. Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous- jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit de rectification, le droit à l’effacement et le droit à la limitation peuvent être limités par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
| a) | la conduite d’enquêtes administratives et de procédures disciplinaires; |
| b) | les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
| c) | les procédures de dénonciation des dysfonctionnements; |
| d) | les procédures (formelles et informelles) en cas de harcèlement; |
| e) | le traitement de plaintes internes et externes; |
| f) | les audits internes; |
| g) | les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
| h) | les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE). |
2. Dans le cas où l’ECDC limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement visés à l’article 18, à l’article 19, paragraphe 1, et à l’article 20, paragraphe 1, du règlement (UE) 2018/1725, il prend les mesures visées à l’article 6, paragraphe 2, de la présente décision, et enregistre le relevé conformément à son article 6, paragraphe 3.
Article 8
Communication à la personne concernée d’une violation de données à caractère personnel et confidentialité des communications électroniques
1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
| a) | la conduite d’enquêtes administratives et de procédures disciplinaires; |
| b) | les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
| c) | les procédures de dénonciation des dysfonctionnements; |
| d) | les procédures (formelles et informelles) en cas de harcèlement; |
| e) | le traitement de plaintes internes et externes; |
| f) | les audits internes; |
| g) | les enquêtes menées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725; |
| h) | les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE). |
2. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:
| a) | la conduite d’enquêtes administratives et de procédures disciplinaires; |
| b) | les activités préliminaires liées à des cas d’irrégularités potentielles signalés à l’OLAF; |
| c) | les procédures de dénonciation des dysfonctionnements; |
| d) | les procédures formelles en cas de harcèlement; |
| e) | le traitement de plaintes internes et externes; |
| f) | les enquêtes de sécurité (informatique) conduites en interne ou avec une participation externe (par exemple CERT-UE). |
3. Dans le cas où l’ECDC limite la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, il consigne et enregistre les motifs de cette limitation conformément à l’article 5, paragraphe 3, de la présente décision. L’article 5, paragraphe 4, de la présente décision s’applique.
Article 9
Entrée en vigueur
1. La précédente décision du conseil d’administration du 9 septembre 2019 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de données à caractère personnel dans le cadre du fonctionnement du Centre européen de prévention et de contrôle des maladies est abrogée.
2. La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Stockholm, le 27 mars 2025.
Pour le Centre européen de prévention et de contrôle des maladies
Gesa LÜCKING
Présidente du conseil d’administration
(1) JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj.
(2) JO L 142 du 30.4.2004, p. 1, ELI: http://data.europa.eu/eli/reg/2004/851/oj.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1,. ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).
ELI: http://data.europa.eu/eli/proc_rules/2025/1747/oj
ISSN 1977-0693 (electronic edition)
Documents similaires
Règlement intérieur32025Q02608
Décision du Contrôleur européen de la protection des données du 25 novembre 2025 relative à la gestion des pièces et des archives [2025/2608]
25/11/2025
Règlement intérieur32025Q00810
Modifications des dispositions pratiques d’exécution du règlement de procédure du Tribunal [2025/810]
09/04/2025
Règlement intérieur32025Q00857
Décision de la Cour de Justice du 1er avril 2025 relative aux règles et modalités de mise en œuvre de la retransmission des audiences [2025/857]
01/04/2025
Règlement intérieur32025Q00347
Avis modifiant le règlement intérieur et code de conduite des membres du Comité économique et social européen (mai 2022) (JO L 149 du 31.5.2022)
19/02/2025