Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.
En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.
En général, nos avis de contrôle préalable étaient publics.
Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.
Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:
L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.
Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.
Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.
Avis du 15 décembre 2008 sur une notification de contrôle préalable au sujet de la base de données ARDOS (dossier 2007/380)
Avis du 15 décembre 2008 sur la notification d'un contrôle préalable à propos de la procédure facultative de "Leadership Feedback" mise en place par l'Ecole européenne d'administration ("EAS") en rapport avec ses cours de management (Dossier 2008-527)
Avis du 12 décembre 2008 sur la notification à propos de la conduite des enquêtes du Bureau de sécurité (Dossier 2008-410)
La finalité des enquêtes du Bureau de Sécurité du SGC est, en premier lieu, la recherche et la poursuite des infractions pénales ainsi que la recherche et la signalisation du non-respect du règlement de sécurité du Conseil par négligence ou avec l'intention de divulguer et de compromettre les informations classifiées. En second lieu, les enquêtes servent également à prévenir les infractions pénales et le non-respect du règlement de sécurité du Conseil. Considérant ce traitement comme particulièrement sensible, le CEPD a émis un certain nombre de recommandations à mettre en place par le Conseil, entre autres : évaluer la proportionnalité des activités de traitement au cas par cas ; établir une recommandation générale adressée aux personnes qui gèrent les dossiers d'enquête, en vue de leur rappeler le principe de qualité des données ; informer le destinataire que les données à caractère personnel ne peuvent être traitées qu'aux fins pour lesquelles elles ont été transmises ; inclure dans le dossier d'enquête une note faisant état du transfert des données ; établir la nécessité d'un transfert de sa propre initiative aux autorités judiciaires dans une décision motivée ; respecter le contenu des informations qui doivent être fournies à la personne concernée, etc...
Avis du 5 décembre 2008 sur une notification d’un contrôle préalable concernant le recrutement de stagiaires (Dossier 2008-196)
Avis du 5 décembre 2008 sur la notification d'un contrôle préalable à propos du dossier "IRIS : allocations familiales" (Dossier 2008-439)
La Commission a élaboré un système d'information intégré pour la gestion et la liquidation des droits individuels et pécuniaires, appelé IRIS qui se compose d'une série de modules couvrant chacun des fonctionnalités précises et spécifiques. Ces modules traitent des données à caractère personnel. Le module "allocations familiales" de IRIS est l'outil informatique conçu afin d'assurer l'éligibilité, l'admissibilité, la tarification et l'ordonnancement des allocations familiales en faveur de l'ensemble des "bénéficiaires" du PMO.
Le CEPD a examiné le traitement de données à caractère personnel lié au module "allocations familiales" de IRIS et en a conclu que celui-ci ne paraît pas entraîner de violations des dispositions du règlement (CE) 45/2001 pour autant que certaines recommandations soient suivies, en particulier que le service gestionnaire veuille à ce que les données collectées soient strictement "adéquates, pertinentes et non excessives" par rapport à la finalité du traitement, modifie la durée de conservation des données, apporte une attention particulière aux transferts des données et informe les personnes concernées conformément aux articles 11 et 12 du règlement.