Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.
En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.
En général, nos avis de contrôle préalable étaient publics.
Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.
Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:
L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.
Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.
Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.
Opinion on notifications for prior checking received from the Data Protection Officers of certain Community agencies concerning the "Staff recruitment procedures".
Avis du 6 mai 2009 sur la notification d'un contrôle préalable de la Cour de justice à propos du dossier "horaire flexible" (Dossier 2007-437)
Avis du 6 mai 2009 sur la notification de contrôle préalable concernant les "Evaluations et rapports de stage" (Dossier 2009-030)
Opinion of 29 April 2009 on a notification for prior checking on Voice Logging at the Joint Research Centre Institute for Energy (JRC-IE) in Petten (Case 2008-014)
This case concerned the recording of incoming and outgoing calls as well as records the calling telephone number, the called telephone number, date, time and length of the conversation at the JRC-IE in Petten the purpose of being able to check the content of the calls to the lines concerned in the event of an operational incident, emergencies and to be able to evaluate emergency training exercises at a later stage. These calls may also furnish evidence for investigations into potential threats to the institution.
The EDPS opinion particularly examines the lawfulness of the processing operation as the recording of calls is a violation to the principle of confidentiality of communications. The EDPS acknowledged that the processing was lawful as based on mandatory national legislation applicable in the field of nuclear facilities. The EDPS also made recommendations on the information to the persons concerned notably to external persons calling the switchboard and who must be informed that the communication will be recorded for security purposes at the start of the call.
Avis du 27 avril 2009 sur la notification de contrôle préalable concernant les procédures de sélection des experts nationaux détachés (Dossier 2008-747)
FRA organises and manages the selection process of national experts for secondment in order to select the best suited candidates for a particular position. In order to select the best suited candidates, applicants have to follow various procedures (eligibility tests, interviews, etc). Such procedures entail the collection and further processing of candidates' personal data for the purposes of evaluating their competences for a given position.
In his opinion, the EDPS concluded that FRA has substantially followed all the principles of the Regulation. Nevertheless the EDPS recommended, among others, that FRA: