Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.
En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.
En général, nos avis de contrôle préalable étaient publics.
Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.
Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:
L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.
Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.
Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.
Lettre du 27 juillet 2010 sur la notification de contrôle préalable concernant la Sélection et le recrutement d’agents temporaires et contractuels, d’experts nationaux détachés et de stagiaires à l'ECHA (Dossier 2010-0109)
On 26 July, the EDPS adopted an opinion on the processing of personal data in the context of a Quality Process Monitoring at the General Secretariat of the Council (GSC). The particularity of the processing lies in the fact that the GSC decided to deploy its tool in two different steps. In a first phase, called pilot phase which ran for several months, the tool was deployed only among a few language units. Then, as a second step, the full deployment of the tool within the GSC was foreseen.
Following his established approach as regards pilot projects, the EDPS analysed the procedure implemented in the context of the pilot project and provided specific recommendations relating to the pilot project before its launch. The EDPS also provided recommendations that should be taken into account for the full launch of the tool, in order to avoid any contradictions between the two phases (pilot phase and full launch of the system) that could have an impact on the protection of personal data.
The purpose of the processing is to systematically evaluate, through sampling, the linguistic and technical quality of documents produced by the Translation Department. The tool enables individual members of staff to monitor their own performance; the head of the data subject's unit to monitor the performance of any given member of their unit; individual members of staff to compare their own performance with the unit's average; and better planning and monitoring.
In his conclusions of the prior-check opinion, the EDPS considered that the recommendations made in the analysis of the pilot project had been implemented by the GSC. Based on the foregoing, the EDPS considered that the follow-up of this opinion had been carried out and decided to close the case.
Lettre du 22 juillet 2010 relative à une notification de contrôle préalable concernant les activités de traitement liées à la procédure d´attestation des fonctionnaires de l´OEDT (Dossier 2010-0407)
Avis du 22 juillet 2010 sur la notification d'un contrôle préalable à propos du dossier "Suites administratives données aux absences pour maladie injustifiées" (Dossier 2009-0687)
Avis du 20 juillet 2010 sur la notification d’un contrôle préalable au sujet des procédures relatives à l’«outil 360° de retour d’informations sur les compétences en leadership» (Dossier 2009-0215)