EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32007D0001(01)
2007/279/EC: Decision of the European Central Bank of 17 April 2007 adopting implementing rules concerning data protection at the European Central Bank (ECB/2007/1)
2007/279/CE: Décision de la Banque centrale européenne du 17 avril 2007 portant adoption de dispositions d’application en ce qui concerne la protection des données à la Banque centrale européenne (BCE/2007/1)
2007/279/CE: Décision de la Banque centrale européenne du 17 avril 2007 portant adoption de dispositions d’application en ce qui concerne la protection des données à la Banque centrale européenne (BCE/2007/1)
OJ L 116, 4.5.2007, p. 64–67
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 01 Volume 003 P. 135 - 138
No longer in force, Date of end of validity: 31/10/2020; abrogé par 32020D0655
|
4.5.2007 |
FR |
Journal officiel de l'Union européenne |
L 116/64 |
DÉCISION DE LA BANQUE CENTRALE EUROPÉENNE
du 17 avril 2007
portant adoption de dispositions d’application en ce qui concerne la protection des données à la Banque centrale européenne
(BCE/2007/1)
(2007/279/CE)
LE DIRECTOIRE DE LA BANQUE CENTRALE EUROPÉENNE,
vu le traité instituant la Communauté européenne, et notamment son article 286,
vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (1), et notamment son article 24, paragraphe 8,
considérant ce qui suit:
|
(1) |
Le règlement (CE) no 45/2001 établit les principes et les règles applicables à toutes les institutions et à tous les organes communautaires en matière de protection des données et prévoit que chaque institution et organe communautaire désigne un délégué à la protection des données. |
|
(2) |
En vertu de l’article 24, paragraphe 8, du règlement (CE) no 45/2001, chaque institution ou organe communautaire doit adopter des dispositions complémentaires d’application concernant le délégué à la protection des données conformément aux dispositions figurant à l’annexe dudit règlement, |
DÉCIDE:
SECTION 1
DISPOSITIONS GÉNÉRALES
Article premier
Objet et champ d’application
1. La présente décision établit les règles générales d’application du règlement (CE) no 45/2001 pour ce qui concerne la Banque centrale européenne (BCE). Elle complète notamment les dispositions du règlement (CE) no 45/2001, qui concernent la désignation et le statut du délégué à la protection des données, ainsi que ses tâches, fonctions et compétences.
2. La présente décision clarifie également les rôles, tâches et fonctions des responsables du traitement des données ainsi que ceux des coordinateurs de la protection des données, et met en œuvre les règles en vertu desquelles les personnes concernées peuvent exercer leurs droits.
Article 2
Définitions
Aux fins de la présente décision, et sans préjudice des définitions figurant dans le règlement (CE) no 45/2001, on entend par:
|
a) |
«responsable du traitement»: un responsable d’une unité organisationnelle qui détermine les finalités et les moyens du traitement de données à caractère personnel; |
|
b) |
«coordinateur de la protection des données»: un membre du personnel qui aide un responsable du traitement à s’acquitter de ses obligations en matière de protection de données. Cette personne sera un spécialiste de la gestion électronique de documents. |
SECTION 2
DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Article 3
Désignation, statut et questions organisationnelles
1. Le directoire:
|
a) |
désigne le délégué à la protection des données parmi les membres du personnel de la BCE qui ont un rang suffisamment élevé dans la hiérarchie pour satisfaire aux exigences de l’article 24 du règlement (CE) no 45/2001; |
|
b) |
fixe la durée du mandat du délégué à la protection des données à une période de deux à cinq ans; et |
|
c) |
communique le nom du délégué à la protection des données au contrôleur européen de la protection des données. |
2. Le directoire veille à ce que le délégué à la protection des données puisse s’acquitter de ses tâches et exercer ses fonctions de manière indépendante. Sans préjudice de cette indépendance:
|
a) |
le délégué à la protection des données est soumis aux conditions applicables au personnel de la BCE; |
|
b) |
le délégué à la protection des données est affecté, à des fins administratives, à l’un des services de la BCE; et |
|
c) |
les personnes chargées de l’évaluation du délégué à la protection des données consultent le contrôleur européen de la protection des données avant de procéder à l’évaluation de la manière dont le délégué s’acquitte de ses tâches et exerce ses fonctions. |
3. Le responsable du traitement concerné veille à ce que le délégué à la protection des données soit informé sans délai:
|
a) |
lorsque se pose une question qui a ou qui pourrait avoir des implications en matière de protection des données; et |
|
b) |
de tout contact avec des tiers au sujet de l’application du règlement (CE) no 45/2001 et, en particulier, de tout échange avec le contrôleur européen de la protection des données. |
4. Le directoire peut désigner un délégué adjoint à la protection des données, auquel les paragraphes 1 et 2 sont applicables. Le délégué adjoint assiste le délégué dans l’accomplissement de ses tâches et l’exercice de ses fonctions, et le remplace en cas d’absence.
5. Tout membre du personnel assistant le délégué au sujet de questions liées à la protection des données n’agit que sur les instructions de celui-ci.
Article 4
Tâches et fonctions du délégué à la protection des données
Dans l’accomplissement des attributions visées à l’article 24 du règlement (CE) no 45/2001 et à l’annexe de ce règlement, le délégué à la protection des données s’acquitte des fonctions suivantes, en tenant compte, si nécessaire, des éléments fournis par les services concernés de la BCE:
|
a) |
conseiller le directoire, les responsables du traitement et les coordinateurs de la protection des données sur des questions concernant l’application de dispositions relatives à la protection des données à la BCE. Le délégué peut être consulté par le directoire, par tout responsable du traitement concerné, par le comité du personnel ou par toute personne physique, sur toute question concernant l’interprétation ou l’application du règlement (CE) no 45/2001; |
|
b) |
examiner, de sa propre initiative ou à la demande du directoire, d’un responsable du traitement, du comité du personnel ou de toute personne physique, des questions et des faits directement en rapport avec ses tâches et fonctions et qui ont été portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen. Le délégué à la protection des données examine les questions et les faits de manière impartiale et en respectant les droits de la personne concernée. Si le délégué l’estime opportun, il informe toutes les autres parties concernées en conséquence. Si l’auteur de la demande est une personne physique, ou s’il agit au nom d’une personne physique, le délégué garantit, dans la mesure du possible, la confidentialité de la demande, à moins que la personne concernée ne consente sans la moindre ambiguïté à ce que sa demande soit traitée différemment; |
|
c) |
coopérer avec les délégués à la protection des données des autres institutions et organes communautaires, notamment par le biais d’un échange d’expérience et de savoir-faire et en représentant la BCE dans toute discussion relative à la protection des données, à l’exception des affaires portées devant un juge; et |
|
d) |
présenter un programme annuel de travail et un rapport annuel sur ses activités au directoire et au contrôleur européen de la protection des données. |
Article 5
Compétences du délégué à la protection des données
Le délégué à la protection des données peut:
|
a) |
demander à tout service de la BCE un avis sur toute question se rapportant à ses tâches et fonctions de délégué; |
|
b) |
émettre un avis sur la licéité de tout traitement, en cours ou envisagé, ou sur toute question qui a trait à la notification des traitements; |
|
c) |
porter à l’attention du directoire tout manquement d’un membre du personnel aux dispositions du règlement (CE) no 45/2001; et |
|
d) |
s’acquitter des autres tâches énoncées à l’annexe du règlement (CE) no 45/2001. |
SECTION 3
RESPONSABLES DU TRAITEMENT ET COORDINATEURS DE LA PROTECTION DES DONNÉES
Article 6
Tâches et fonctions des responsables du traitement et des coordinateurs de la protection des données
1. Les responsables du traitement veillent à ce que tous les traitements de données à caractère personnel qui sont effectués dans leur domaine de responsabilité soient conformes aux dispositions du règlement (CE) no 45/2001.
2. Lorsqu’ils s’acquittent de leur obligation d’aider le délégué à la protection des données et le contrôleur européen de la protection des données dans l’exercice de leurs fonctions, les responsables du traitement leur fournissent des informations complètes, leur donnent accès aux données à caractère personnel et répondent à leurs questions dans un délai de vingt jours ouvrables à compter de la réception de la demande.
3. Sans préjudice des responsabilités des responsables du traitement:
|
a) |
les coordinateurs de la protection des données aident les responsables du traitement à s’acquitter de leurs obligations, soit à la demande des responsables du traitement, soit de leur initiative propre. Dans ce cadre, les coordinateurs de la protection des données se concertent avec le personnel relevant des responsables du traitement, qui leur fournit toutes les informations nécessaires. Si le responsable du traitement concerné l’estime opportun, cela peut comporter l’accès à des données à caractère personnel traitées sous sa responsabilité. |
|
b) |
Les coordinateurs de la protection des données aident le délégué à la protection des données:
|
Article 7
Procédure de notification
1. Avant d’entreprendre de nouveaux traitements de données à caractère personnel, le responsable du traitement concerné en informe le délégué à la protection des données en utilisant l’interface en ligne, accessible sur le site internet du délégué à la protection des données qui est situé sur l’intranet de la BCE. Tout traitement qui doit faire l’objet d’un contrôle préalable conformément à l’article 27, paragraphe 3, du règlement (CE) no 45/2001, est notifié suffisamment à l’avance afin de permettre au contrôleur européen de la protection des données d’exercer ce contrôle préalable.
2. Les responsables du traitement informent sans délai le délégué à la protection des données de toute modification affectant les informations qui ont déjà été notifiées au délégué.
SECTION 4
DROITS DES PERSONNES CONCERNÉES
Article 8
Registre
Le registre tenu par le délégué à la protection des données en vertu de l’article 26 du règlement (CE) no 45/2001 sert de répertoire de tous les traitements de données à caractère personnel effectués à la BCE. Les personnes concernées peuvent utiliser les informations contenues dans le registre afin d’exercer les droits que leur confèrent les articles 13 à 19 du règlement (CE) no 45/2001.
Article 9
Exercice des droits des personnes concernées
1. Outre leur droit d’être informées de manière adéquate de tout traitement de données à caractère personnel les concernant, les personnes concernées peuvent s’adresser au responsable du traitement concerné afin d’exercer les droits que leur confèrent les articles 13 à 19 du règlement (CE) no 45/2001, ainsi qu’il est précisé ci-dessous.
|
a) |
Ces droits ne peuvent être exercés que par la personne concernée ou par un représentant dûment mandaté. L’exercice de tous ces droits est gratuit pour ces personnes. |
|
b) |
Les demandes visant à exercer un de ces droits sont adressées par écrit au responsable du traitement concerné. Celui-ci n’accède à la demande que si l’identité de son auteur, et éventuellement son aptitude à représenter la personne concernée, ont été établies de manière adéquate. Le responsable du traitement informe sans délai et par écrit la personne concernée de l’acceptation ou du rejet de sa demande. En cas de rejet de la demande, le responsable du traitement en indique les motifs dans sa réponse. |
|
c) |
À tout moment, dans un délai de trois mois à compter de la réception de la demande d’information, le responsable du traitement permet à la personne concernée d’avoir accès à ces données conformément à l’article 13 du règlement (CE) no 45/2001, en l’autorisant à les consulter sur place ou à en recevoir copie, selon le souhait qu’elle aura exprimé. |
|
d) |
Les personnes concernées peuvent s’adresser au délégué à la protection des données si le responsable du traitement ne respecte pas l’un des délais visés aux points b) ou c). En cas d’abus manifeste de ses droits par une personne concernée, le responsable du traitement peut soumettre son cas au délégué à la protection des données, qui se prononcera alors sur le fond de la demande et sur la suite qu’il convient d’y donner. En cas de désaccord entre la personne concernée et le responsable du traitement, les deux parties ont le droit de s’adresser au délégué à la protection des données. |
2. Les membres du personnel de la BCE peuvent consulter le délégué à la protection des données avant de présenter une réclamation au contrôleur européen de la protection des données, conformément à l’article 33 du règlement (CE) no 45/2001.
Article 10
Exceptions et limitations
1. À condition que le délégué à la protection des données ait été consulté à l’avance, le responsable du traitement peut limiter l’exercice des droits visés aux articles 13 à 17 du règlement CE) no 45/2001, pour les motifs et conformément aux conditions prévus à l’article 20 dudit règlement.
2. Toute personne concernée peut demander au contrôleur européen de la protection des données d’appliquer l’article 47, paragraphe 1, point c), du règlement (CE) no 45/2001.
Article 11
Procédure d’examen
1. Toute demande d’examen en application de l’article 4, point b), doit être adressée par écrit au délégué à la protection des données.
2. Le délégué à la protection des données envoie un accusé de réception au demandeur dans un délai de vingt jours ouvrables à compter de la réception de la demande.
3. Le délégué à la protection des données peut procéder à l’examen sur place et demander une déclaration écrite au responsable du traitement. Celui-ci adresse sa réponse au délégué dans un délai de vingt jours ouvrables à compter de la réception de la demande de déclaration. Le délégué peut demander des informations supplémentaires ou solliciter l’aide de tout service de la BCE. Le service concerné fournit l’information demandée et apporte l’aide requise dans un délai de vingt jours ouvrables à compter de la demande du délégué.
4. Le délégué à la protection des données fait rapport à la personne qui a demandé l’information dans un délai de trois mois calendaires à compter de la réception de la demande.
Article 12
Recours
Outre les recours visés à l’article 32 du règlement (CE) no 45/2001, qui sont ouverts à toute personne concernée, les membres du personnel de la BCE peuvent exercer les recours prévus dans les conditions d’emploi de la BCE.
SECTION 5
ENTRÉE EN VIGUEUR
Article 13
Disposition finale
La présente décision entre en vigueur le vingtième jour qui suit sa publication au Journal officiel de l’Union européenne.
Fait à Francfort-sur-le-Main, le 17 avril 2007.
Le président de la BCE
Jean-Claude TRICHET
(1) JO L 8 du 12.1.2001, p. 1.