Avis de contrôle préalable et consultations préalables

Certaines des procédures mises en place par les institutions de l’UE présentent des risques pour les droits en matière de protection des données et pour les libertés des personnes.

En vertu de l’ancien cadre juridique [le règlement (CE) nº 45/2001], les institutions de l’UE étaient tenues de nous notifier les opérations de traitement de données présentant des risques avant de les mettre en place.

En général, nos avis de contrôle préalable étaient publics.

Le règlement 2018/1725 est fondé sur l’ancien règlement et il est le reflet du règlement général sur la protection des données (UE) 2016/679 (le RGPD) qui s’applique à la plupart des organisations traitant des données à caractère personnel dans les États membres. Par rapport aux règles précédentes, le règlement 2018/1725 met davantage en adéquation les obligations de documentation avec les risques posés par le traitement de données à caractère personnel. Ainsi, par exemple, les exigences de documentation concernant un abonnement à une lettre d’information d’une institution de l’UE seront moins strictes que pour un système utilisant une «télévision en circuit fermé intelligente» qui couvrira un espace accessible au public ou que pour une base de données établissant le profil de voyageurs à des fins de filtrage.

Selon le traitement de données à caractère personnel qu’elles effectuent, les institutions de l’UE (les «responsables du traitement») peuvent ne pas devoir accomplir toutes les étapes ci-dessous [celles-ci sont décrites dans la Accountability on the ground toolkit (boîte à outils en matière de responsabilité sur le terrain)]:

- produire des documents de base (appelés «registres») pour tous les traitements;
- vérifier si le traitement est susceptible de présenter des risques élevés pour les personnes dont les données sont traitées et consulter le DPD si tel semble être le cas;
- si les institutions de l’UE doivent réaliser une analyse d’impact relative à la protection des données (AIPD), elles examinent ces risques de manière plus détaillée et prévoient des garanties/contrôles spécifiques afin de les gérer;
- si les résultats de cette analyse continuent de faire apparaître des risques résiduels élevés en matière de protection des données, l’institution de l’UE concernée doit saisir le CEPD en vue d’une consultation préalable (voir l’article 40 du règlement 2018/1725 pour les données administratives à caractère personnel et l’article 90 de ce même règlement pour les données opérationnelles à caractère personnel).

L’article 39 du règlement 2016/794 relatif à Europol prévoit un mécanisme de consultation préalable ad hoc pour un nouveau type d’opérations de traitement, à savoir pour les données traitées par Europol afin d’aider les États membres à prévenir la grande criminalité et le terrorisme et à les combattre. De même, l’article 72 du règlement 2017/1939 relatif au Parquet européen prévoit un mécanisme spécifique de consultation préalable pour le traitement de données opérationnelles, à savoir des données traitées dans le cadre d’enquêtes et de poursuites pénales menées par le Parquet européen. Le règlement 2018/1725, y compris le mécanisme standard de consultation préalable, s’applique aux traitements de données effectués par Europol et le Parquet européen, notamment en ce qui concerne les données de membres du personnel et de visiteurs, par exemple.

Lorsqu’une institution de l’UE n’est pas certaine de devoir notifier un traitement de données en vue d’une consultation préalable, son DPD peut nous consulter afin d’obtenir une confirmation.

Prior check opinion on the notification of the OIB’s "360° tool - feedback and leadership competencies” (Case 2016-1130 / DPO-3868.1)

The Office for Infrastructure and Logistics in Brussels (OIB) has a development programme for managers using a 360° feedback tool. Managers participate on a voluntary basis in the exercise, in which their staff members, peers and superiors who agree to give feedback get to rate the manager. This allows managers to obtain anonymous feedback on their management and leadership style and to improve their management and leadership skills.

Two external providers cooperate with OIB in this exercise: a subcontractor collects individual evaluation responses per line manager through an online questionnaire and automatically generates reports; the contractor provides for individual coaching sessions to the managers. The specific roles and tasks of these two processors should be are clearly mentioned in the data protection statement. The subcontractor’s data centre is located in the United Kingdom. Forwardlooking, the EDPS highlights that future transfers might come under Article 9 of the Regulation requiring an adequate level of protection within the recipient's legal framework for transfers to third countries. In this issue, see pp.12-13 of EDPS Position paper on transfers to third countries and international organisations by EU institutions and bodies.

Langues disponibles: anglais

Topics

Transferts de données

Respect de la vie privée dans les institutions de l'UE

Évaluation du personnel

Access to documents
Administrative and Human Resources
Article 7 - droit à la vie privée
Règles d'entreprise contraignantes
Données biométriques
Blanchiment d'argent
Systèmes de transport intelligent
Case Management System
CEDH
CJUE
Communication
Recherche de preuves informatiques
Conseil de l'Europe
Conservation des données
COVID-19
Violation de données à caractère personnel
Droit d'information
Système PNR de l'UE
Europol
Finance
Informatique au travail
IT
Localisation
Management of the EDPS
Santé mobile
Technologies renforçant la protection de la vie privée
Physical Security
Public Events
Règlement (UE) 2018/1725
Safe Harbour
Système d’information Schengen
SIS SCG
Staff Committee
Supervision by EDPS
Surveys
Article 8 - Droit à la protection des données
Droit d'accès
Chaîne de blocs
Chiffrement
Clauses contractuelles types
Essais cliniques
Convention 108
Coopération fiscale
CrEDH
Cybersécurité
Discipline, Enquêtes
eCall
Système européen d'information sur les casiers judiciaires
PNR
OCDE
Profilage
Système d’information sur les visas
VIS SCG
Adequacy Decision
Anti-fraude
Informatique en nuage
Comité européen de la protection des données - Groupe de travail «Article 29»
Convention sur la cybercriminalité
Lutte contre le terrorisme
Drones
Droit de rectification
Eurodac
Eurodac SCG
Evasion fiscale
Privacy Shield
Appareils mobiles et applications
Système d’information douanier
CIS SCG
Umbrella Agreement
Droit à l'effacement
Marchés financiers
Nations Unies
Recrutement
Système d’information du marché intérieur
Données ouvertes
Droit à la limitation du traitement
Évaluation du personnel
IMI SCG
TTIP
Conditions de travail
Compteurs intelligents
Droit à la portabilité des données
Système d'entrée/sortie
Marchés, Subventions, Experts
Droit d'opposition
Réseaux sociaux
Prise de décision individuelle automatisée
Données concernant la santé au travail
Anti-harcèlement
Délégué à la protection des données
Conflits d'intérêts
Sécurité et accès aux locaux
Neutralité du réseau
Encryption
Intelligence artificielle
Etique
Robotique
Charte des droits fondamentaux de l’Union européenne
Règlement général sur la protection des données
Directive sur la police
Directive «vie privée et communications électroniques»
Règlement (CE) n° 45/2001
Droits de l'individu
Nécessité et Proportionalité
Protection des données dès la conception
Interopérabilité
Protection des données par défaut
Responsabilité du responsable du traitement
Accords internationaux
Normes internationales
Coopération internationale
Jurisprudence et litiges
Transferts de données
Coordination de la Supervision
Systèmes Informatiques à Grande échelle
Sécurité de l’information
Mégadonnées et "Digital Clearinghouse"
Internet des objets
Système de gestion des informations personnelles
IPEN (Réseau d'ingénierie de la vie privée sur Internet)
Administration en ligne
Frontières, asile, migration
Politique étrangère et de sécurité commune
Concurrence
Consommateurs
Finance et économie
Santé
Marché intérieur
Marché unique numérique
Coopération judiciaire
Coopération policière
Communications électroniques, société de l’information
Recherche et science
Transports
Respect de la vie privée dans les institutions de l'UE
Transparence
Lancement d'alerte
Surveillance
Sécurité
Technologies

Agency for the Cooperation of Energy Regulators (ACER)
Body of European Regulators for Electronic Communications (BEREC)
Clean Sky Joint Undertaking (CSJU)
Committee of the Regions (CoR)
Community Plant Variety Office (CPVO)
Consumers, Health and Food Executive Agency (CHAFEA)
Council of the European Union
Court of Justice of the European Union (CJEU)
ECSEL Joint Undertaking (ECSEL)
eu-LISA
European Agency for Safety and Health at Work (EU-OSHA)
European Anti-Fraud Office (OLAF)
European Asylum Support Office (EASO)
European Aviation Safety Agency (EASA)
European Banking Authority (EBA)
European Border and Coast Guard Agency (FRONTEX)
European Central Bank (ECB)
European Centre for Desease Prevention and Control (ECDC)
European Centre for the Development of Vocational Training (Cedefop)
European Chemicals Agency (ECHA)
European Climate, Infrastructure and Environment Executive Agency (CINEA)
European Commission
European Court of Auditors (ECA)
European Data Protection Board (EDPB)
European Data Protection Supervisor (EDPS)
European Defence Agency (EDA)
European Economic and Social Committee (EESC)
European Education and Culture Executive Agency (EACEA)
European Environment Agency (EEA)
European External Action Service (EEAS)
European Fisheries Control Agency (EFCA)
European Food Safety Authority (EFSA)
European Foundation for the Improvement of Living and Working Conditions (Eurofound)
European GNSS Agency (GSA)
European Health and Digital Executive Agency (HaDEA)
European Innovation Council and SMEs Executive Agency (EISMEA)
European Institute for Gender Equality (EIGE)
European Institute of Innovation and Technology (EIT)
European Insurance and Occupations Pensions Authority (EIOPA)
European Investment Bank (EIB)
European Investment Fund (EIF)
European Labour Authority (ELA)
European Maritime Safety Agency (EMSA)
European Medicines Agency (EMA)
European Ombudsman (Ombudsman)
European Parliament
European Personnel Selection Office (EPSO)
European Police College (CEPOL)
European Police Office (EUROPOL)
European Public Prosecutor's Office (EPPO)
European Research Council Executive Agency (ERCEA)
European Research Executive Agency (REA)
European Securities and Markets Authority (ESMA)
European Systemic Risk Board (ESRB)
European Training Foundation (ETF)
European Union Agency for Fundamental Rights (FRA)
European Union Agency for Network and Information Security (ENISA)
European Union Agency for Railways (ERA)
European Union Drugs Agency
European Union Institute for Security Studies (EUISS)
European Union Intellectual Property Office (EUIPO)
European Union Satellite Centre (EUSC)
Fuel Cells & Hydrogen Joint Undertaking (FCHJU)
Fusion for Energy (F4E)
Innovative Medicines Initiative Joint Undertaking (IMI JU)
Joint Research Centre (JRC)
Office for Harmonisation in the Internal Market (OHIM)
Other
SESAR Joint Undertaking (SESAR JU)
Single Resolution Board (SRB)
The European Union's Judicial Cooperation Unit (EUROJUST)
Translation Centre for the Bodies of the European Union (CdT)