Introduction

La Commission européenne est résolue à protéger vos données à caractère personnel et à respecter votre vie privée. Elle recueille et traite des données à caractère personnel conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données (abrogeant le règlement (CE) n° 45/2001).

La présente déclaration relative à la protection de la vie privée explique les raisons du traitement de vos données à caractère personnel, la façon dont elles sont recueillies, traitées et protégées, l'usage qui en est fait et les droits que vous pouvez exercer les concernant. Elle indique également les coordonnées du responsable du traitement des données à contacter pour exercer vos droits, du délégué à la protection des données et du Contrôleur européen de la protection des données.

La présente déclaration relative à la protection de la vie privée concerne le traitement des données à caractère personnel par la Commission européenne lors du traitement des demandes initiales et confirmatives d’accès aux documents introduites en vertu du règlement (CE) n° 1049/2001, effectué par l’unité «Transparence, gestion documentaire et accès aux documents» du secrétariat général (responsable du traitement des données horizontal pour le compte de la Commission européenne) et par les unités chargées de traiter les demandes initiales d’accès aux documents dans le service compétent de la Commission (responsable du traitement de données de fait pour le compte de la Commission européenne).

Pourquoi et comment traitons-nous vos données à caractère personnel?

Finalité de l’opération de traitement: la Commission européenne recueille et utilise vos données à caractère personnel afin de traiter des demandes d’accès à des documents adressées en vertu du règlement (CE) n° 1049/2001 dans les délais prescrits et d’établir un rapport statistique annuel conformément à l’article 17, paragraphe 1, dudit règlement. Ces données à caractère personnel peuvent être traitées pour donner suite à une requête du Médiateur européen ou en cas de procédure judiciaire.

Vos données à caractère personnel ne sont pas utilisées pour une prise de décision automatisée, y compris pour le profilage.

Quelles sont les bases juridiques du traitement de vos données à caractère personnel?

La Commission européenne traite vos données à caractère personnel, pour les raisons suivantes:

  • leur traitement est nécessaire pour exécuter une mission effectuée dans l’intérêt public [article 5, paragraphe 1, point a), du règlement (UE) 2018/1725];
  • leur traitement est nécessaire pour respecter une obligation légale à laquelle la Commission européenne est soumise [article 5, paragraphe 1, point b), du règlement (UE) 2018/1725].

En outre, le traitement des données à caractère personnel non obligatoires que vous fournissez dans votre demande d’accès à des documents (voir le point 4 ci-dessous) est fondé sur votre consentement [article 5, paragraphe 1, point d), du règlement (UE) 2018/1725].

Le traitement en vertu de l'article 5, paragraphe 1, points a) et b), doit être fondé sur le droit de l’Union, à savoir l’article 15, paragraphe 3, du traité sur le fonctionnement de l’Union européenne et le règlement (CE) n° 1049/2001.

Quelles sont les données à caractère personnel que nous recueillons et traitons?

Les données à caractère personnel recueillies et traitées sont:

a) les données à caractère personnel fournies par le demandeur au moyen du formulaire en ligne:

  • données obligatoires: nom, coordonnées (adresses électronique et postale et pays de résidence), objet de la demande (elle peut contenir des données à caractère personnel si elle concerne une personne physique identifiée ou identifiable),
  • données non obligatoires: autres coordonnées (numéros de téléphone et de télécopieur), catégorie et organisation;

b) les données à caractère personnel fournies par le demandeur dans sa demande, présentée dans un autre format électronique ou en format papier;

c) les données à caractère personnel figurant dans les documents demandés, s’ils ont été divulgués en vertu du règlement (CE) n° 1049/2001, ainsi que dans la réponse à la demande et la correspondance y afférente avec le demandeur.

Combien de temps conservons-nous vos données à caractère personnel?

La Commission européenne ne conserve vos données à caractère personnel que pendant le temps nécessaire pour atteindre la finalité de leur collecte ou de leur traitement ultérieur, c’est-à-dire pas plus de cinq ans après la clôture d’un dossier.

Au stade de la demande initiale, un dossier est considéré comme clos une fois que la décision initiale de la Commission a acquis un caractère définitif (autrement dit, s’il n’y a pas eu de demande confirmative), à moins qu’une enquête du Médiateur européen ne requière un suivi.

Dans ce dernier cas, un dossier est considéré comme clos lorsque le Médiateur européen a clos son enquête au sujet de la plainte, sans que la Commission doive prendre des mesures supplémentaires à l’égard de la demande d’accès aux documents.

Au stade de la demande confirmative, un dossier est considéré comme clos une fois que la décision confirmative de la Commission a acquis un caractère définitif, à savoir dans l’un des cas suivants:

- la date limite pour introduire un recours devant la Cour de justice de l’Union européenne a expiré;

- la Cour de justice de l’Union européenne a confirmé la décision confirmative;

- la Commission européenne a effectué le suivi demandé par la Cour dans son arrêt.

Un dossier n’est pas considéré comme clos, même si la décision confirmative a acquis un caractère définitif, si une enquête du Médiateur européen nécessite un suivi. Dans ce cas, un dossier est considéré comme clos lorsque le Médiateur européen a clos son enquête au sujet de la plainte, sans que la Commission doive prendre des mesures supplémentaires à l’égard de la demande d’accès aux documents.

Cette «durée d’utilité administrative» de cinq ans est fondée sur la politique de conservation des documents et des dossiers (ainsi que des données personnelles y figurant) de la Commission européenne, régie par la liste commune de conservation des dossiers au niveau de la Commission [SEC(2012) 713]. Ce document à valeur réglementaire est structuré comme un tableau de gestion qui définit la durée de conservation des différentes catégories de dossiers de la Commission européenne. Cette liste a été transmise au Contrôleur européen de la protection des données.

La «durée d’utilité administrative» est la période durant laquelle les services de la Commission sont tenus de conserver un dossier, en fonction de son utilité administrative et des obligations statutaires et légales qui y sont liées. Cette période débute à partir du moment où le dossier est clos.

Conformément à la liste commune de conservation des dossiers au niveau de la Commission, après la «période d’utilité administrative», les dossiers concernant des demandes d’accès aux documents (et les données à caractère personnel y figurant) peuvent être transférés aux archives historiques de la Commission européenne [pour les opérations de traitement relatives aux archives historiques, voir les notifications DPO-1530.4 «ARES-NOMCOM. ARES (Advanced Records System) et NOMCOM (Nomenclature commune)», DPO-3871-3 «Notification for the digital archival repository and ARCHISscanning» et DPO-2806-5 «Gestion des dossiers papier structurés par nom de personnes et transférés aux archives historiques»].

Comment protégeons-nous vos données à caractère personnel?

Toutes les données sous forme électronique (courriels, documents, lots de données téléchargés, etc.) sont conservées sur les serveurs de la Commission européenne ou de ses sous-traitants, dont le fonctionnement est conforme à la décision (UE, Euratom) 2017/46 du 10 janvier 2017 de la Commission sur la sécurité des systèmes d’information et de communication au sein de la Commission européenne.

Les sous-traitants de la Commission européenne sont liés par une clause contractuelle spécifique régissant toute opération de traitement de vos données à caractère personnel pour le compte de la Commission, ainsi que par les obligations de confidentialité découlant de la transposition du règlement général sur la protection des données dans les États membres de l’Union européenne.

La Commission européenne a pris un certain nombre de mesures techniques et organisationnelles pour protéger vos données à caractère personnel. Les mesures techniques comprennent des actions appropriées visant à assurer la sécurité en ligne et à atténuer les risques de perte de données, de modification des données ou d'accès non autorisé, en tenant compte du risque posé par le traitement et de la nature des données à caractère personnel traitées. Les mesures organisationnelles comprennent la limitation de l’accès aux données à caractère personnel aux seules personnes autorisées ayant un intérêt légitime à les connaître aux fins de cette opération de traitement.

Qui a accès à vos données à caractère personnel et à qui sont-elles communiquées?

L'accès à vos données à caractère personnel est accordé au personnel habilité de la Commission européenne chargé d’effectuer l’opération de traitement, conformément au principe du «besoin d’en connaître». Ces personnes respectent les conventions réglementaires et, le cas échéant, des règles de confidentialité supplémentaires.

Les données à caractère personnel figurant dans les documents demandés peuvent être divulguées au public à la suite d’une évaluation au titre du règlement (CE) n° 1049/2001, en liaison avec l’article 9 du règlement (UE) 2018/1725.

Les informations à caractère personnel que nous recueillons sur les personnes demandant l’accès à des documents ne seront pas communiquées à une tierce partie, sauf dans la mesure et aux fins éventuellement exigées par la loi.

Quels sont vos droits et comment les exercer?

Vous jouissez de droits spécifiques en tant que «personne concernée» en vertu du chapitre III (articles 14 à 25) du règlement (UE) 2018/1725. En ce qui concerne la présente opération de traitement, vous pouvez exercer les droits suivants:

  • le droit d’accéder à vos données à caractère personnel [article 17 du règlement (UE) 2018/1725];
  • le droit de corriger vos données à caractère personnel si elles sont erronées ou incomplètes [article 18 du règlement (UE) 2018/1725];
  • le cas échéant, le droit de restreindre le traitement de vos données à caractère personnel [article 20 du règlement (UE) 2018/1725] et le droit de transférer ces données [article 22 du règlement (UE) 2018/1725];
  • tant que la réponse à la demande d’accès aux documents n’a pas encore été fournie, le droit de faire effacer vos données à caractère personnel [article 19 du règlement (UE) 2018/1725] et le droit de vous opposer au traitement de vos données à caractère personnel pour des raisons liées à votre situation personnelle [article 23 du règlement (UE) 2018/1725]. Du fait de l’exercice de ces deux droits, la demande d’accès à des documents deviendrait caduque.

Dans la mesure où le traitement de vos données à caractère personnel est fondé sur votre consentement (s’agissant de données à caractère personnel non obligatoires telles que décrites aux points 3 et 4 ci-dessus), vous pouvez retirer votre consentement à tout moment en le notifiant au responsable du traitement des données. Le retrait de votre consentement n’affecte pas la légalité du traitement effectué avant ce retrait.

Vous pouvez exercer vos droits en contactant le responsable du traitement des données ou, en cas de litige, le délégué à la protection des données. Si nécessaire, vous pouvez également vous adresser au Contrôleur européen de la protection des données. Leurs coordonnées figurent à la rubrique «Coordonnées» ci-dessous.

Si vous souhaitez exercer vos droits dans le cadre d’une ou de plusieurs opérations de traitement spécifiques, veuillez en indiquer la référence (telle que celle mentionnée à la rubrique «Coordonnées» ci-dessous) dans votre demande.

Toute demande d’accès à des données à caractère personnel sera traitée dans un délai d’un mois. Toute autre demande susmentionnée sera traitée dans un délai de 15 jours ouvrables à compter de la réception de la demande par le responsable du traitement des données.

Coordonnées

  • Responsable du traitement des données (horizontal)

Si vous souhaitez exercer vos droits en vertu du règlement (UE) 2018/1725, ou si vous avez des commentaires, questions ou inquiétudes, ou si vous souhaitez porter plainte concernant la collecte et l'utilisation de vos données à caractère personnel, n'hésitez pas à contacter le responsable du traitement des données.

  • Secrétariat général
  • Unité C.1 «Transparence, gestion documentaire et accès aux documents»
  • Adresse électronique: sg-acc-doc@ec.europa.eu
  • Délégué à la protection des données (DPD) de la Commission européenne

Vous pouvez prendre contact avec le délégué à la protection des données (DATA-PROTECTION-OFFICER@ec.europa.eu) au sujet des questions relatives au traitement de vos données à caractère personnel en vertu du règlement (UE) 2018/1725.

  • Contrôleur européen de la protection des données (CEPD)

Vous avez le droit de saisir le Contrôleur européen de la protection des données (edps@edps.europa.eu) pour déposer une plainte si vous estimez que les droits dont vous jouissez en vertu du règlement (UE) 2018/1725 ont été enfreints à la suite du traitement de vos données à caractère personnel effectué par le responsable de ce traitement.

Où trouver des informations plus détaillées?

Le délégué à la protection des données de la Commission européenne publie le registre de toutes les opérations de traitement de données à caractère personnel qui sont documentées et qui lui sont notifiées. Ce registre se trouve à l’adresse suivante: http://ec.europa.eu/dpo-register.

L’opération de traitement spécifique dont il est question dans la présente déclaration a été enregistrée dans le registre public du DPD sous la référence suivante: DPR-EC-00793.