Le Médiateur européen

Vu

(1)  le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (le «règlement»)^[1], et notamment son article 45, paragraphe 3;

(2) le document exposant la position du contrôleur européen de la protection des données (le «CEPD» ) sur le rôle des délégués à la protection des données des institutions et organes de l’UE,

décide:

Article premier Désignation du DPD

1. Le Médiateur européen désigne un délégué à la protection des données (ci-après dénommé le «DPD») parmi les membres du personnel du Médiateur européen sur la base de ses qualités personnelles et professionnelles, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ces missions. Un DPD adjoint peut être désigné, après consultation du DPD^[2]. Le DPD peut être assisté de personnel auxiliaire.

2. Le mandat du DPD est de cinq ans et peut être renouvelé.

3. Les coordonnées du DPD sont communiquées au CEPD et publiées sur le site web du Médiateur européen.

4. Le DPD qui ne remplit plus les conditions nécessaires à l’exercice de ses fonctions ne peut être relevé de ses fonctions par le Médiateur européen qu’avec le consentement du CEPD. Le Médiateur européen établit que le DPD ne remplit plus ces conditions sur proposition du secrétaire général. Afin d’obtenir le consentement du CEPD à un tel licenciement conformément à l’article 44, paragraphe 8, du règlement, le CEPD est consulté par écrit. Une copie de ce consentement est transmise au DPD.

Article 2 Statut du DPD

1. Le DPD rend compte au secrétaire général du Médiateur européen.

2. Sans préjudice du premier paragraphe, le DPD agit de manière indépendante. Le DPD ne peut recevoir aucune instruction quant à l’exercice de ses missions, ni être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions.

3. Le Médiateur européen:

(a) veille à ce que le DPD soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel;

(b) veille à ce que le DPD dispose du temps et des ressources nécessaires pour mener à bien ses missions et pour entretenir ses connaissances spécialisées; et

(c) veille à ce que les missions et les tâches du DPD en tant que telles, et toutes autres missions et tâches officielles qu’il peut exécuter, n’entraînent pas de conflit d’intérêts.

4. Le DPD et son personnel auxiliaire sont soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions.

Article 3 Missions, fonctions et compétences du DPD

1. Le DPD informe et conseille le Médiateur européen sur les obligations qui incombent à l’institution en vertu du règlement et d’autres dispositions du droit de l’Union en matière de protection des données.

2. Le DPD assure, d’une manière indépendante, l’application interne du présent règlement; contrôle le respect du présent règlement, d’autres textes législatifs de l’Union applicables contenant des dispositions en matière de protection des données et des règles internes du Médiateur européen en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant.

3. Le DPD veille à ce que les personnes concernées soient informées de leurs droits et obligations au titre du présent règlement.

4. Le DPD dispense des conseils, sur demande, en ce qui concerne la nécessité

(a) d’une notification au CEPD et/ou d’une communication à la personne concernée d’une violation de données à caractère personnel;

(b) d’une analyse d’impact relative à la protection des données; il vérifie l’exécution de celle-ci et consulte le CEPD en cas de doute quant à la nécessité d’effectuer une analyse d’impact relative à la protection des données;

(c) d’une consultation préalable du CEPD et d’une consultation du CEPD en cas de doute quant à la nécessité de le consulter préalablement.

5. Le DPD répond aux demandes du CEPD et, dans son domaine de compétence, coopère et se concerte avec le CEPD à la demande de ce dernier ou de sa propre initiative.

6. Le DPD veille à ce que les opérations de traitement dont le Médiateur européen est responsable ne portent pas atteinte aux droits et libertés des personnes concernées.

7. Le DPD tient un registre central dans lequel sont consignées les opérations de traitement et les violations de données à caractère personnel relevant de la responsabilité du Médiateur européen. Le DPD veille à ce que le registre des opérations de traitement soit à la disposition du public, y compris par voie électronique. Sur demande, les documents relatifs aux activités de traitement du Médiateur européen sont mis à la disposition du CEPD.

8. Le Médiateur européen, le comité du personnel et toute personne physique peuvent consulter le DPD, sans passer par les voies officielles, sur toute question relative à l’interprétation ou à l’application du règlement, dans la mesure où elle porte sur des activités de traitement de données dont le Médiateur européen est responsable. Dans la mesure du possible, le DPD fournit des informations compréhensibles sans connaissances spécialisées.

9. Le DPD peut faire des recommandations visant à améliorer concrètement la protection des données au Médiateur européen et le conseiller sur des questions touchant à l’application des dispositions relatives à la protection des données aux activités de traitement de données dont le Médiateur est responsable.

10. De sa propre initiative ou à la demande du Médiateur européen, du secrétariat général, du comité du personnel ou de toute personne physique, le DPD peut examiner des questions et des faits qui sont directement en rapport avec ses missions et qui ont été portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen ou au Médiateur européen. Ces enquêtes respectent le principe d’équité et le droit des personnes concernées à exprimer leur point de vue sur les faits qui les concernent.

11. Les personnes concernées peuvent s’adresser au DPD en ce qui concerne toutes les questions liées au traitement de leurs données à caractère personnel et à l’exercice de leurs droits.

12. Aucune personne ne doit subir de préjudice pour avoir porté à l’attention du DPD un fait dont elle allègue qu’il constitue une violation du présent règlement.

13. Dans l’accomplissement de ses missions, le DPD a accès à tout moment aux données qui font l’objet d'opérations de traitement ainsi qu’à tous les bureaux, toutes les installations de traitement de données et tous les supports de données.

14. Dans l’exercice de ses fonctions liées au traitement effectué par une autre institution ou un autre organe de l’Union au nom du Médiateur européen, le DPD peut coopérer avec le délégué à la protection des données de l’institution ou de l’organe concerné.

Article 4 Entrée en vigueur

La présente décision entre en vigueur le jour de son adoption.

Fait à Strasbourg, le 9 octobre 2019

Emily O’Reilly

[1] JO L 295 du 21.11.2018, p. 39.

[2] Lorsqu’un DPD adjoint est désigné conformément à la présente procédure, l’expression «DPD» s’entend à la fois comme DPD et DPD adjoint.