Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.
En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.
En général, nos avis de contrôle préalable étaient publics.
Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.
Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:
L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.
Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.
Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.
Avis du 29 septembre 2009 sur la notification d'un contrôle préalable à propos du dossier "Gestion du Centre Polyvalent de l'Enfance (CPE) - Garderie et Centre d'études: système d'information Loustic et dossiers médicaux" (Luxembourg) (Dossier 2009-089)
Avis du 28 septembre 2009 sur la notification de contrôle préalable à propos du dossier "Sélection du personnel permanent et temporaire au Secrétariat Général du Conseil de l'Union européenne" (Dossier 2009-197)
Avis du 24 septembre 2009 sur la notification en vue d'un contrôle préalable concernant la sélection et le recrutement par la FRA de ses agents temporaires et contractuels (Dossier 2008-589)
Avis du 21 septembre 2009 sur la notification d'un contrôle préalable à propos du dossier "Conseil de discipline" (Dossier 2009-087)
Avis du 14 septembre 2009 sur la notification d'un contrôle préalable à propos du dossier "Traitement de données dans le cadre de l'Assurance accident" (Dossier 2004-0257)
Le traitement a pour finalité de rembourser les fonctionnaires, les agents temporaires, les agents contractuels, les experts nationaux détachés et les stagiaires du SGC dans le cas d'un accident et/ou d'une maladie professionnelle.
Dans le cadre du traitement, des données relatives à la santé sont traitées car le remboursement ne peut être effectué que sur base des certificats médicaux et des rapports d'expertise. Par conséquent, ce traitement entre dans le champ d'application de la procédure de contrôle préalable, sur la base de l'article 27.2.a du règlement.
Le SGC est conventionné avec une compagnie d'assurance par le biais d'un contrat de service. Le SGC est également lié en vertu d'un mandat avec un médecin externe désigné par l'AIPN.
Dans le cadre de ses recommandations, le CEPD a notamment souligné que le SGC prépare une note interne avec toutes les informations contenues dans les articles 11 et 12 du règlement 45/2001 qui devra être adressée aux personnes concernées pour les prochaines communications relatives au traitement. En outre, le CEPD a recommandé que la disposition relative à la protection des données du contrat de service soit reformulée faisant référence aux données transférées et traitées dans le cadre du traitement en l'espèce. Il a été également recommandé que le contrat de service ainsi que le mandat avec le médecin externe soient complétés par une référence relative au niveau de sécurité énoncé dans la législation belge.