Décision (UE) 2018/1962 de la Commission du 11 décembre 2018 établissant les règles internes concernant le traitement des données à caractère personnel par l’Office européen de lutte antifraude (OLAF) en ce qui concerne la fourniture d’informations aux personnes concernées et la limitation de certains de leurs droits conformément à l’article 25 du règlement (UE) 2018/1725 du Parlement européen et du Conseil

JOUE L315 du 12 décembre 2018

Dans le cadre de ses activités, ​l’Office européen de lutte antifraude (OLAF) traite plusieurs catégories de données à caractère personnel, en particulier des données d’identification, données professionnelles, données de contact.

Dans ce contexte, cette décision européenne établit les règles internes concernant le traitement des données à caractère personnel par l’OLAF. Plus précisément, elle définit les règles que l’OLAF doit suivre pour informer les personnes concernées que leurs données seront traitées conformément au règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données.

Elle prévoit notamment :

* les conditions dans lesquelles l’OLAF peut limiter l’application de certains articles du règlement 2018/1725 du 23 octobre 2018 (4, 14 à 20 et 35) ;
* les modalités selon lesquelles les personnes concernées doivent être informées que les activités de l’OLAF impliquent le traitement de leurs données à caractère personnel. Dans ce cadre, l’OLAF doit notamment publier sur son site internet des avis relatant ces informations ;
* des dispositions encadrant le droit d’accès de la personne concernée aux données, le droit de rectification, le droit à l’effacement et à la limitation du traitement. L’OLAF peut, en effet, limiter, intégralement ou partiellement, le droit d’accès des personnes concernées aux données, le droit de rectification, le droit à l’effacement ou le droit à la limitation du traitement. Dans ce cas, il doit en informer la personne concernée et préciser les principaux motifs de cette décision ainsi que la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne. Dans ces hypothèses, le texte prévoit notamment que les motifs de la limitation doivent être enregistrés et consignés dans un registre ;
* la possibilité pour le délégué à la protection des données de demander un réexamen des cas dans lesquels les droits de personnes ont été limités.
Ces dispositions sont applicables à partir du 11 décembre 2018.