Le règlement (UE) 2018/1725 établit les obligations en matière de protection des données pour les institutions, organes et agences de l'UE lorsqu'ils traitent des données à caractère personnel et élaborent de nouvelles politiques. Ce règlement définit également les obligations du CEPD, y compris son rôle en tant qu’autorité indépendante de surveillance des institutions et organes de l’UE lorsqu’ils traitent des données à caractère personnel et pour formuler des conseils sur les politiques et la législation qui ont une incidence sur la vie privée et coopérer avec des autorités similaires afin d’assurer une protection des données cohérente.
Opinion of 21 January 2010 on a notification for prior checking on the processing of personal data in the frame of the management of probationary periods (e-probation) (Case 2009-718)
Le fonctionnement du Régime Commun d’Assurance Maladie (RCAM) est assuré par un Comité de Gestion (ci-après CGAM), un Bureau central, des Bureaux liquidateurs et un Conseil médical. Le CGAM est un organe paritaire où siègent les représentants du personnel désignés par les Comités du Personnel de chaque Institution, ainsi que les représentants des administrations.
Ce Comité de Gestion traite de toutes les modifications de la réglementation par voie de proposition ou d'avis, des réclamations introduites par les affiliés, il émet des avis et des recommandations, ainsi que des propositions en relation avec le fonctionnement du régime commun.
Le CEPD a rencontré le CGAM en novembre 2008 afin de discuter des aspects protection de données dans le cadre des dossiers traités par le CGAM. Puisque les réclamations des affiliés comportent des données sensibles, il a été décidé que le comité enverrait une notification au CEPD.
Suite à cette notification, le CEPD a rendu un avis le 18 janvier 2010 avec les recommandations suivantes :
• au regard de la qualité des données, le CEPD s'est montré très soucieux à propos des données d'identification reçues par le CGAM et a suggéré que cela ne soit le cas que lorsque absolument indispensable. Le CEPD a également recommandé que les données soient gérées en accord avec les principes de nécessité et de proportionnalité et que les dossiers soient mis à jour.
• le CEPD a fortement recommandé qu'une période de rétention des données soit déterminée pour les données stockées sur CIRCA (application Internet utilisée comme un outil de collaboration pour l'échange de documentation et la création et la gestion de groupes de travail) et que les dossiers de réclamations soient anonymisés ou sujets à des accès plus restreints.
• Le CGAM doit mettre en place des droits d'accès et de rectification pour les personnes concernées tant aux versions papier qu'aux versions postées sur CIRCA et accorde ces droits à ces personnes.
• Le CGAM doit élaborer une note d'information afin que les personnes introduisant des demandes de remboursement ou des réclamations à propos de ces demandes puissent en prendre connaissance.
• au regard des mesures de sécurité le CEPD a exigé qu'une analyse de risques soit conduite et qu'une politique de sécurité soit mise en place dans les 6 mois qui suivent cet avis. A défaut ce manquement persistant sera considéré en violation du règlement 45/2001.
Avis du 18 janvier 2010 sur une notification en ve d'un contrôle préalable concernant la "procédure d'accès au disque/courrier électronique privé" (Dossier 2009-620)
Réponse à la notification de contrôle préalable concernant la promotion de membres du personnel permanent (Dossier 2009-759)
Answer to a notification of prior checking concerning Identity & Access Management (Case 2009-639)