Avis de contrôle préalable et consultations préalables

Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.

En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.

En général, nos avis de contrôle préalable étaient publics.

Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.

Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:

- produire des documents de base (appelés «registres») pour tous les traitements;
- vérifier si le traitement est susceptible de présenter des risques élevés pour les personnes dont les données sont traitées et consulter le DPD si tel semble être le cas;
- si les institutions de l’UE doivent réaliser une analyse d’impact relative à la protection des données (AIPD), elles examinent ces risques de manière plus détaillée et prévoient des garanties/contrôles spécifiques afin de les gérer;
- si les résultats de cette analyse continuent de faire apparaître des risques résiduels élevés en matière de protection des données, l’institution de l’UE concernée doit saisir le CEPD en vue d’une consultation préalable (voir l’article 40 du règlement 2018/1725 pour les données administratives à caractère personnel et l’article 90 de ce même règlement pour les données opérationnelles à caractère personnel).

L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.

Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.

Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.

Filters

Filter by Publication Year

Filter by Topics/Tags

Filter by Institution

Sep

2008

Opinions Prior Check and Prior Consultations

Stage - Cour des comptes

Avis du 19 septembre 2008 sur la notification d'un contrôle préalable à propos du dossier "demandes de stage rémunéré ou non-rémunéré" (Dossier 2008-391)

La Cour des Comptes recrute deux catégories de stagiaires, ceux en formation au sein de la Cour (la finalité du recrutement de ces stagiaires est de fournir à une population de personnes intéressées, choisie sur la plus large base géographique, un aperçu global du processus de l'intégration européenne à travers l'expérience quotidienne du fonctionnement d'une institution européenne) et une catégorie plus particulière, ceux en formation en provenance des institutions de contrôle nationales (ICN) des pays en voie d'adhésion à l'Union européenne (la Cour des comptes européenne, soucieuse d'apporter sa contribution à la meilleure préparation des structures de contrôle des pays candidats à l'adhésion à l'Union européenne, organise des stages de formation à l'attention des agents des Institutions de contrôle nationales (I.C.N) des pays concernés. Le stage en question ne crée aucun lien de travail entre l'Institution et le stagiaire en formation, ce dernier restant toujours et pendant la période du stage au service de son employeur d'origine dans son pays).

Le traitement proposé est en conformité avec le règlement (CE) 45/2001 sous réserve que la Cour des Comptes mette en place les recommandations suivantes :

insère dans les deux décisions régissant l'emploi des stagiaires la mention spécifique de l'extrait de casier judiciaire comme élément à fournir pour être admis à un stage,
réévalue la durée de rétention des données, en cas de candidatures non validées ou de candidatures validées mais non retenues,
rappelle aux destinataires au sein de la Cour de traiter les données uniquement aux fins qui ont motivé leur transmission.
garantisse le droit d'accès aux évaluations effectuées après les entretiens dans le cadre du recrutement des stagiaires en provenance des ICN.
complète la notice d'information adressée aux personnes concernées.

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Recrutement

Sep

2008

Opinions Prior Check and Prior Consultations

Mobilité professionnelle - Parlement

Avis du 17 septembre 2008 sur la notification d'un contrôle préalable concernant le traitement "mobilité professionnelle" (Dossier 2008-329)

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Évaluation du personnel

Sep

2008

Opinions Prior Check and Prior Consultations

Sous-traitance de la caisse de maladie - BEI

Avis du 16 septembre 2008 sur la notification d'un contrôle préalable à propos du dossier "sous-traitance partielle de la caisse de maladie" (Dossier 2008-323)

Il a été décidé d’instaurer une sous-traitance partielle de la caisse de maladie. La société choisie pour cette sous-traitance "GMC -Garantie Médicale et Chirurgicale- du groupe Henner" est une société française enregistrée à la CNIL (Commission Nationale Informatique et Libertés). Le but de cette sous-traitance est de laisser aux affiliés le choix entre continuer à soumettre leur frais médicaux à la caisse de maladie au sein de la Banque ou soumettre leur frais médicaux à un prestataire extérieur, les barèmes de remboursement étant identiques dans les deux solutions, mais avec l’avantage d’un remboursement plus rapide, de l’anonymat du traitement des données électroniquement vis à vis de la BEI.

Le traitement proposé est en conformité avec le règlement (CE) 45/2001 sous réserve que la Banque européenne d'investissement transmette au sous-traitant la mise en place des recommandations suivantes :

que la mention "responsables du traitement" soit rectifiée dans le cadre du formulaire de remboursement des soins à retourner par la personne concernée à GMC Services.
que les données susceptibles de faire l'objet de statistiques soient anonymisées ou encryptées.

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Données concernant la santé au travail

Sep

2008

Opinions Prior Check and Prior Consultations

Interface Flexitime/PersonaGrata - Conseil

Avis du 16 septembre 2008 sur la notification d'un contrôle préalable à propos du dossier "Interface Flexitime - PersonaGrata (DGA3) (Dossier 2008-324)

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Conditions de travail

Sep

2008

Opinions Prior Check and Prior Consultations

Accréditation du personnel des firmes externes - Conseil

Avis du 16 septembre 2008 sur la notification d'un contrôle préalable sur l'accréditation du personnel des firmes externes participant aux réunions du Conseil européen (Dossier 2007-046)

Langues disponibles: français

Topics

Respect de la vie privée dans les institutions de l'UE

Sécurité et accès aux locaux

Access to documents
Administrative and Human Resources
Article 7 - droit à la vie privée
Règles d'entreprise contraignantes
Données biométriques
Blanchiment d'argent
Systèmes de transport intelligent
Case Management System
CEDH
CJUE
Communication
Recherche de preuves informatiques
Conseil de l'Europe
Conservation des données
COVID-19
Violation de données à caractère personnel
Droit d'information
Système PNR de l'UE
Europol
Finance
Informatique au travail
IT
Localisation
Management of the EDPS
Santé mobile
Technologies renforçant la protection de la vie privée
Physical Security
Public Events
Règlement (UE) 2018/1725
Safe Harbour
Système d’information Schengen
SIS SCG
Staff Committee
Supervision by EDPS
Surveys
Article 8 - Droit à la protection des données
Droit d'accès
Chaîne de blocs
Chiffrement
Clauses contractuelles types
Essais cliniques
Convention 108
Coopération fiscale
CrEDH
Cybersécurité
Discipline, Enquêtes
eCall
Système européen d'information sur les casiers judiciaires
PNR
OCDE
Profilage
Système d’information sur les visas
VIS SCG
Adequacy Decision
Anti-fraude
Informatique en nuage
Comité européen de la protection des données - Groupe de travail «Article 29»
Convention sur la cybercriminalité
Lutte contre le terrorisme
Drones
Droit de rectification
Eurodac
Eurodac SCG
Evasion fiscale
Privacy Shield
Appareils mobiles et applications
Système d’information douanier
CIS SCG
Umbrella Agreement
Droit à l'effacement
Marchés financiers
Nations Unies
Recrutement
Système d’information du marché intérieur
Données ouvertes
Droit à la limitation du traitement
Évaluation du personnel
IMI SCG
TTIP
Conditions de travail
Compteurs intelligents
Droit à la portabilité des données
Système d'entrée/sortie
Marchés, Subventions, Experts
Droit d'opposition
Réseaux sociaux
Prise de décision individuelle automatisée
Données concernant la santé au travail
Anti-harcèlement
Délégué à la protection des données
Conflits d'intérêts
Sécurité et accès aux locaux
Neutralité du réseau
Encryption
Intelligence artificielle
Etique
Robotique
Charte des droits fondamentaux de l’Union européenne
Règlement général sur la protection des données
Directive sur la police
Directive «vie privée et communications électroniques»
Règlement (CE) n° 45/2001
Droits de l'individu
Nécessité et Proportionalité
Protection des données dès la conception
Interopérabilité
Protection des données par défaut
Responsabilité du responsable du traitement
Accords internationaux
Normes internationales
Coopération internationale
Jurisprudence et litiges
Transferts de données
Coordination de la Supervision
Systèmes Informatiques à Grande échelle
Sécurité de l’information
Mégadonnées et "Digital Clearinghouse"
Internet des objets
Système de gestion des informations personnelles
IPEN (Réseau d'ingénierie de la vie privée sur Internet)
Administration en ligne
Frontières, asile, migration
Politique étrangère et de sécurité commune
Concurrence
Consommateurs
Finance et économie
Santé
Marché intérieur
Marché unique numérique
Coopération judiciaire
Coopération policière
Communications électroniques, société de l’information
Recherche et science
Transports
Respect de la vie privée dans les institutions de l'UE
Transparence
Lancement d'alerte
Surveillance
Sécurité
Technologies

Agency for the Cooperation of Energy Regulators (ACER)
Body of European Regulators for Electronic Communications (BEREC)
Clean Sky Joint Undertaking (CSJU)
Committee of the Regions (CoR)
Community Plant Variety Office (CPVO)
Consumers, Health and Food Executive Agency (CHAFEA)
Council of the European Union
Court of Justice of the European Union (CJEU)
ECSEL Joint Undertaking (ECSEL)
eu-LISA
European Agency for Safety and Health at Work (EU-OSHA)
European Anti-Fraud Office (OLAF)
European Asylum Support Office (EASO)
European Aviation Safety Agency (EASA)
European Banking Authority (EBA)
European Border and Coast Guard Agency (FRONTEX)
European Central Bank (ECB)
European Centre for Desease Prevention and Control (ECDC)
European Centre for the Development of Vocational Training (Cedefop)
European Chemicals Agency (ECHA)
European Climate, Infrastructure and Environment Executive Agency (CINEA)
European Commission
European Court of Auditors (ECA)
European Data Protection Board (EDPB)
European Data Protection Supervisor (EDPS)
European Defence Agency (EDA)
European Economic and Social Committee (EESC)
European Education and Culture Executive Agency (EACEA)
European Environment Agency (EEA)
European External Action Service (EEAS)
European Fisheries Control Agency (EFCA)
European Food Safety Authority (EFSA)
European Foundation for the Improvement of Living and Working Conditions (Eurofound)
European GNSS Agency (GSA)
European Health and Digital Executive Agency (HaDEA)
European Innovation Council and SMEs Executive Agency (EISMEA)
European Institute for Gender Equality (EIGE)
European Institute of Innovation and Technology (EIT)
European Insurance and Occupations Pensions Authority (EIOPA)
European Investment Bank (EIB)
European Investment Fund (EIF)
European Labour Authority (ELA)
European Maritime Safety Agency (EMSA)
European Medicines Agency (EMA)
European Ombudsman (Ombudsman)
European Parliament
European Personnel Selection Office (EPSO)
European Police College (CEPOL)
European Police Office (EUROPOL)
European Public Prosecutor's Office (EPPO)
European Research Council Executive Agency (ERCEA)
European Research Executive Agency (REA)
European Securities and Markets Authority (ESMA)
European Systemic Risk Board (ESRB)
European Training Foundation (ETF)
European Union Agency for Fundamental Rights (FRA)
European Union Agency for Network and Information Security (ENISA)
European Union Agency for Railways (ERA)
European Union Drugs Agency
European Union Institute for Security Studies (EUISS)
European Union Intellectual Property Office (EUIPO)
European Union Satellite Centre (EUSC)
Fuel Cells & Hydrogen Joint Undertaking (FCHJU)
Fusion for Energy (F4E)
Innovative Medicines Initiative Joint Undertaking (IMI JU)
Joint Research Centre (JRC)
Office for Harmonisation in the Internal Market (OHIM)
Other
SESAR Joint Undertaking (SESAR JU)
Single Resolution Board (SRB)
The European Union's Judicial Cooperation Unit (EUROJUST)
Translation Centre for the Bodies of the European Union (CdT)