Décision (UE) 2018/1961 de la Commission du 11 décembre 2018 portant règles internes relatives à la communication d’informations aux personnes concernées et à la limitation de certains de leurs droits dans le contexte du traitement des données à caractère personnel aux fins d’activités d’audit interne

JOUE L315 du 12 décembre 2018

Aux fins de ses activités d’audit interne (au titre des articles 118 et 119 du règlement Euratom 2018/1046 du 18 juillet 2018), la Commission européenne traite des données à caractère personnel obtenues ou reçues de personnes morales, de personnes physiques, d’États membres et d’instances et d’organisations internationales.

Dans ce contexte, cette décision européenne définit les règles que la Commission doit suivre pour informer les personnes concernées que leurs données seront traitées conformément au règlement 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données lorsqu’elle exerce ses activités d’audit interne.

Elle prévoit notamment :

* les conditions dans lesquelles la Commission peut limiter l’application de certains articles du règlement 2018/1725 du 23 octobre 2018 (4, 14 à 17, 19, 20 et 35) ;
* les modalités selon lesquelles les personnes concernées doivent être informées que les activités de la Commission impliquent le traitement de leurs données à caractère personnel. Dans ce cadre, la Commission doit notamment publier sur son site internet des avis relatant ces informations. Elle doit, le cas échéant, veiller à ce que les personnes concernées soient informées individuellement sous une forme appropriée ;
* des dispositions encadrant le droit d’accès de la personne concernée aux données, le droit à l’effacement et à la limitation du traitement. La Commission peut, en effet, limiter, intégralement ou partiellement, le droit d’accès des personnes concernées aux données, le droit à l’effacement ou le droit à la limitation du traitement. Dans ce cas, elle doit en informer la personne concernée et préciser les principaux motifs de cette décision ainsi que la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne. Dans ces hypothèses, le texte prévoit notamment que les motifs de la limitation doivent être enregistrés et consignés dans un registre ;
* la durée des limitations ;
* la possibilité pour le délégué à la protection des données de la Commission de demander un réexamen des cas dans lesquels les droits des personnes ont été limités.
Ces dispositions sont applicables à partir du 11 décembre 2018.