Avis de contrôle préalable et consultations préalables

Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.

En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.

En général, nos avis de contrôle préalable étaient publics.

Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.

Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:

- produire des documents de base (appelés «registres») pour tous les traitements;
- vérifier si le traitement est susceptible de présenter des risques élevés pour les personnes dont les données sont traitées et consulter le DPD si tel semble être le cas;
- si les institutions de l’UE doivent réaliser une analyse d’impact relative à la protection des données (AIPD), elles examinent ces risques de manière plus détaillée et prévoient des garanties/contrôles spécifiques afin de les gérer;
- si les résultats de cette analyse continuent de faire apparaître des risques résiduels élevés en matière de protection des données, l’institution de l’UE concernée doit saisir le CEPD en vue d’une consultation préalable (voir l’article 40 du règlement 2018/1725 pour les données administratives à caractère personnel et l’article 90 de ce même règlement pour les données opérationnelles à caractère personnel).

L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.

Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.

Tout comme c’était le cas pour les avis de contrôle préalable que nous émettions auparavant, en général, les avis de consultation préalable sont publics, mais nous pouvons, si nécessaire, supprimer des éléments sensibles, par exemple liés à la sécurité. Certains avis, qui possèdent, par nature, un caractère sensible, en particulier dans les domaines de la police et de la justice, peuvent ne pas être publiés. À des fins de transparence, ces avis sont résumés dans notre rapport annuel.

Filters

Filter by Publication Year

Filter by Topics/Tags

Filter by Institution

Dec

2007

Opinions Prior Check and Prior Consultations

Conseiller social - Banque centrale européenne

Avis du 6 décembre 2007 sur une notification de contrôle préalable concernant les données traitées par le conseiller social (Dossier 2007-489)

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Conditions de travail

Dec

2007

Opinions Prior Check and Prior Consultations

Dossiers sociaux - CESE et CdR

Avis du 6 décembre 2007 sur la notification d'un contrôle préalable à propos du dossier "Dossiers sociaux" (Dossier 2007-355)

Le traitement intitulé "dossiers sociaux" par le CESE et le CdR" concerne l'aide, le soutien et l'accompagnement du personnel du CESE et du CdR en difficulté. Cela se fait avec leur accord et parfois en étroite collaboration avec le service médical en vue de faire progresser une situation. Le cas échéant, cela conduit à leur orientation vers les ressources adéquates internes ou externes aux institutions européennes avec l'accord du demandeur dans la mesure du possible.

D'après la procédure, aucun formulaire type à remplir n'existe. Dans le cadre du traitement des différentes catégories de données sont collectées, notamment des données administratives, médicales, professionnelles, financières, juridiques et familiales ainsi que toutes les pièces justificatives nécessaires destinées à argumenter toute demande d'aide soumise à l'AIPN. L'assistant social examine la situation en collectant les données nécessaires et sur cette base propose une aide appropriée. Dans le cadre d'une demande d'intervention de l'organe concerné un rapport social est rédigé et il est soumis à l'AIPN de l'organe concerné afin qu'une décision soit prise.

Dans le cas des aides complémentaires aux handicapés ou des remboursements des frais dans le cas des gardes d'enfants malades, des données relatives à la santé sont traitées. En outre, afin de pouvoir accorder le droit à une aide sociale, un certain nombre d'aspects de la personnalité de la personne concernée est évalué, à savoir des données relatives à son état financier, familial, professionnel et social. C'est pourquoi, ce traitement entre dans le champ d'application de la procédure de contrôle préalable sur la base des articles 27.2.a) et 27.2.b) du règlement 45/2001 respectivement.

Dans le cadre de ses recommandations, le CEPD a notamment souligné qu'à titre de règle générale, le droit d'accès et de rectification soit accordé à la personne concernée au regard de son dossier ainsi que des notes personnelles de l'assistant social, sauf des exceptions légitimes. Il a été aussi recommandé que le CESE et le CdR mentionnent dans la note d'information qu'il revient au personnel demandeur d'une aide et qu'ils informent les personnes auxquelles il fait référence de leurs propres droits relatifs aux articles 11 et 12. Il revient également au demandeur d'aide de fournir à ces personnes l'information disponible sur le site intranet afin qu'elles soient informées de leurs droits. La note d'information doit aussi faire référence à la possibilité du fait que, dans certains cas, le droit des personnes concernées d'avoir accès à certaines données relatives à leur dossier soit limité à la lumière de l'article 20.1.c du règlement, mais qu'elles seront informées des principales raisons qui motivent cette limitation en conformité avec l'article 20.3 du règlement.

Langues disponibles: français

Topics

Respect de la vie privée dans les institutions de l'UE

Conditions de travail

Dec

2007

Opinions Prior Check and Prior Consultations

Déclaration publique d'intérêts - Agence européenne des médicaments (EMEA)

Avis du 6 décembre 2007 sur la notification d'un contrôle préalable sur la déclaration publique d'intérêts (Dossier 2007-419)

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Conflits d'intérêts

Dec

2007

Opinions Prior Check and Prior Consultations

Procédure de notation - Comité des Régions

Avis du 4 décembre 2007 sur la notification d'un contrôle préalable à propos du dossier "Procédure de notation des fonctionnaires et agents" (Dossier 2007-356)

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Évaluation du personnel

Nov

2007

Opinions Prior Check and Prior Consultations

Grève et actions assimilables - Conseil

Avis du 29 novembre 2007 sur la notification d'un contrôle préalable à propos du dossier "Gestion administrative en cas de grève et actions assimilables : retenues sur traitement et mesures de réquisitions" (Dossier 2004-249)

Langues disponibles: anglais, français

Topics

Respect de la vie privée dans les institutions de l'UE

Conditions de travail

Access to documents
Administrative and Human Resources
Article 7 - droit à la vie privée
Règles d'entreprise contraignantes
Données biométriques
Blanchiment d'argent
Systèmes de transport intelligent
Case Management System
CEDH
CJUE
Communication
Recherche de preuves informatiques
Conseil de l'Europe
Conservation des données
COVID-19
Violation de données à caractère personnel
Droit d'information
Système PNR de l'UE
Europol
Finance
Informatique au travail
IT
Localisation
Management of the EDPS
Santé mobile
Technologies renforçant la protection de la vie privée
Physical Security
Public Events
Règlement (UE) 2018/1725
Safe Harbour
Système d’information Schengen
SIS SCG
Staff Committee
Supervision by EDPS
Surveys
Article 8 - Droit à la protection des données
Droit d'accès
Chaîne de blocs
Chiffrement
Clauses contractuelles types
Essais cliniques
Convention 108
Coopération fiscale
CrEDH
Cybersécurité
Discipline, Enquêtes
eCall
Système européen d'information sur les casiers judiciaires
PNR
OCDE
Profilage
Système d’information sur les visas
VIS SCG
Adequacy Decision
Anti-fraude
Informatique en nuage
Comité européen de la protection des données - Groupe de travail «Article 29»
Convention sur la cybercriminalité
Lutte contre le terrorisme
Drones
Droit de rectification
Eurodac
Eurodac SCG
Evasion fiscale
Privacy Shield
Appareils mobiles et applications
Système d’information douanier
CIS SCG
Umbrella Agreement
Droit à l'effacement
Marchés financiers
Nations Unies
Recrutement
Système d’information du marché intérieur
Données ouvertes
Droit à la limitation du traitement
Évaluation du personnel
IMI SCG
TTIP
Conditions de travail
Compteurs intelligents
Droit à la portabilité des données
Système d'entrée/sortie
Marchés, Subventions, Experts
Droit d'opposition
Réseaux sociaux
Prise de décision individuelle automatisée
Données concernant la santé au travail
Anti-harcèlement
Délégué à la protection des données
Conflits d'intérêts
Sécurité et accès aux locaux
Neutralité du réseau
Encryption
Intelligence artificielle
Etique
Robotique
Charte des droits fondamentaux de l’Union européenne
Règlement général sur la protection des données
Directive sur la police
Directive «vie privée et communications électroniques»
Règlement (CE) n° 45/2001
Droits de l'individu
Nécessité et Proportionalité
Protection des données dès la conception
Interopérabilité
Protection des données par défaut
Responsabilité du responsable du traitement
Accords internationaux
Normes internationales
Coopération internationale
Jurisprudence et litiges
Transferts de données
Coordination de la Supervision
Systèmes Informatiques à Grande échelle
Sécurité de l’information
Mégadonnées et "Digital Clearinghouse"
Internet des objets
Système de gestion des informations personnelles
IPEN (Réseau d'ingénierie de la vie privée sur Internet)
Administration en ligne
Frontières, asile, migration
Politique étrangère et de sécurité commune
Concurrence
Consommateurs
Finance et économie
Santé
Marché intérieur
Marché unique numérique
Coopération judiciaire
Coopération policière
Communications électroniques, société de l’information
Recherche et science
Transports
Respect de la vie privée dans les institutions de l'UE
Transparence
Lancement d'alerte
Surveillance
Sécurité
Technologies

Agency for the Cooperation of Energy Regulators (ACER)
Body of European Regulators for Electronic Communications (BEREC)
Clean Sky Joint Undertaking (CSJU)
Committee of the Regions (CoR)
Community Plant Variety Office (CPVO)
Consumers, Health and Food Executive Agency (CHAFEA)
Council of the European Union
Court of Justice of the European Union (CJEU)
ECSEL Joint Undertaking (ECSEL)
eu-LISA
European Agency for Safety and Health at Work (EU-OSHA)
European Anti-Fraud Office (OLAF)
European Asylum Support Office (EASO)
European Aviation Safety Agency (EASA)
European Banking Authority (EBA)
European Border and Coast Guard Agency (FRONTEX)
European Central Bank (ECB)
European Centre for Desease Prevention and Control (ECDC)
European Centre for the Development of Vocational Training (Cedefop)
European Chemicals Agency (ECHA)
European Climate, Infrastructure and Environment Executive Agency (CINEA)
European Commission
European Court of Auditors (ECA)
European Data Protection Board (EDPB)
European Data Protection Supervisor (EDPS)
European Defence Agency (EDA)
European Economic and Social Committee (EESC)
European Education and Culture Executive Agency (EACEA)
European Environment Agency (EEA)
European External Action Service (EEAS)
European Fisheries Control Agency (EFCA)
European Food Safety Authority (EFSA)
European Foundation for the Improvement of Living and Working Conditions (Eurofound)
European GNSS Agency (GSA)
European Health and Digital Executive Agency (HaDEA)
European Innovation Council and SMEs Executive Agency (EISMEA)
European Institute for Gender Equality (EIGE)
European Institute of Innovation and Technology (EIT)
European Insurance and Occupations Pensions Authority (EIOPA)
European Investment Bank (EIB)
European Investment Fund (EIF)
European Labour Authority (ELA)
European Maritime Safety Agency (EMSA)
European Medicines Agency (EMA)
European Ombudsman (Ombudsman)
European Parliament
European Personnel Selection Office (EPSO)
European Police College (CEPOL)
European Police Office (EUROPOL)
European Public Prosecutor's Office (EPPO)
European Research Council Executive Agency (ERCEA)
European Research Executive Agency (REA)
European Securities and Markets Authority (ESMA)
European Systemic Risk Board (ESRB)
European Training Foundation (ETF)
European Union Agency for Fundamental Rights (FRA)
European Union Agency for Network and Information Security (ENISA)
European Union Agency for Railways (ERA)
European Union Drugs Agency
European Union Institute for Security Studies (EUISS)
European Union Intellectual Property Office (EUIPO)
European Union Satellite Centre (EUSC)
Fuel Cells & Hydrogen Joint Undertaking (FCHJU)
Fusion for Energy (F4E)
Innovative Medicines Initiative Joint Undertaking (IMI JU)
Joint Research Centre (JRC)
Office for Harmonisation in the Internal Market (OHIM)
Other
SESAR Joint Undertaking (SESAR JU)
Single Resolution Board (SRB)
The European Union's Judicial Cooperation Unit (EUROJUST)
Translation Centre for the Bodies of the European Union (CdT)