Opinion on a Notification for Prior Checking received from

Opinion on a Notification for Prior Checking received from
Avis sur une notification en vue d'un contrôle préalable adressée par le Délégué à la
protection des données de l'Autorité européenne de sécurité des aliments concernant la
gestion des congés au sein de l'EFSA
Bruxelles, le 1er décembre 2009 (dossier 2009-0455)
1. Procédure
Par courrier électronique reçu le 9 juillet 2009, le Contrôleur européen de la protection des
données a reçu une notification au sens de l'article 27 du règlement (CE) n° 45/2001 du Délégué
à la Protection des données (DPD) de l'Autorité européenne de sécurité des aliments (EFSA)
concernant la gestion des congés au sein de celle-ci (dossier 2009-0455) (ci-après dénommée "la
notification").
À cette notification étaient annexés les documents suivants:
–
–
–
–
annexe 1: Règles consolidées en matière de congés et de conditions de travail;
annexe 2: Foire aux questions concernant les congés et les conditions de travail;
annexe 3: Notification du DPD relative à la gestion des congés au sein de l'EFSA;
annexe 4: Notification du DPD relative au système d'enregistrement du temps/Flexitime.
Par ailleurs, le DPD a adressé, le 17 juillet, outre les versions en format "Word" des documents
susmentionnés, un document supplémentaire, à savoir le manuel technique d'utilisation du
système de gestion informatisée des demandes de congé.
Les 14 et 17 septembre 2009, dans le cadre de l'analyse, une série de questions ont été posées au
responsable du traitement, par l'intermédiaire du DPD. Les premières réponses ont été fournies le
17 septembre (accompagnées d'une copie de la convention signée avec le médecin-conseil) et
ensuite le 21 octobre 2009. Ce jour-là, le CEPD a reçu les documents suivants:
–
–
–
–
–
annexe 1: Rapport d'audit interne sur les technologies de l'information (TI), faisant suite à
l'évaluation du risque en matière de TI au sein de l'EFSA, élaborée par Deloitte;
annexe 2: Rapport d'audit interne sur les TI, plan d'action et rapport sur l'état d'avancement
des travaux;
annexe 3: Manuel d'utilisation de ce nouveau système de gestion informatisée des
demandes de congé (projet, pour information);
annexe 4: Modèle de déclaration de confidentialité;
annexe 5: Types de congés et informations communiquées.
Le 10 novembre 2009, le dossier a été laissé en suspens une nouvelle fois pour une demande
d'informations, pour laquelle les réponses ont été reçues le 17 novembre 2009. Le dossier a été à
nouveau laissé en suspens le 23 novembre 2009 dans l'attente des observations du DPD sur le
projet d'avis, qui ont été transmises le 30 novembre 2009. Un document complémentaire a été
Adresse postale: rue Wiertz 60 - B-1047 Bruxelles
Bureaux: rue Montoyer 63
E-mail : edps@edps.europa.eu - Site Internet : www.edps.europa.eu
Tél.: 02-283 19 00 - Fax : 02-283 19 50
envoyé avec les observations. Il traite des nouvelles dispositions applicables aux experts
nationaux détachés.
2. Les faits
Les opérations de traitement portent sur la gestion de tous les droits relatifs aux congés annuels,
aux congés spéciaux, aux congés de maladie et, d'une manière générale, à toutes les conditions de
travail y afférentes des fonctionnaires, agents temporaires, agents contractuels et experts
nationaux détachés au sein de l'EFSA.
Le but visé est d'assurer l'application du Statut du personnel et des dispositions d'application en
matière de congés et de conditions de travail au sein de l'EFSA, notamment celles relatives aux
absences pour cause de maladie ou d'accident, ainsi que de fournir une assistance administrative
interne.
En outre, la notification traite également du système Flexitime. Le système d'enregistrement du
temps/Flexitime s'inscrit, en partie, dans le cadre des traitements relevant de la gestion globale
des congés au sein de l'EFSA. Cela peut se déduire des règles consolidées en matière de congés,
ainsi que du fait que les "flexileave" sont enregistrés dans la base de données Centurio de l'unité
"Ressources humaines" (RH), au même titre que d'autres types de congé. Une notification
distincte adressée au DPD en 2008 à propos du système d'enregistrement du temps/Flexitime est
à présent incluse dans la notification actuelle.
Les conditions de travail au sein de l'EFSA sont fondées sur les bases juridiques suivantes: le
Statut du personnel 1 , les dispositions d'application et les informations administratives des
Communautés européennes, ainsi que les règles internes adoptées par l'EFSA 2 .
Le responsable du traitement considère que ce dernier est une opération relevant du mandat de
l'EFSA. Les conditions de travail des fonctionnaires, appliquées par analogie avec celles des
autres agents des Communautés européennes, sont définies aux titres III et IV du Statut du
personnel énonçant les dispositions d'application concernant les congés et celles relatives aux
absences pour cause de maladie ou d'accident.
Au cours des échanges avec le responsable du traitement, il a également été souligné qu'un
nouveau système de gestion informatisée est en cours de développement à l'EFSA. Ce nouveau
système remplacera prochainement Livelink, qui est toujours en service actuellement.
Dans le cadre de ce nouveau système de gestion informatisée, les agents devront obtenir une
autorisation préalable avant de pouvoir demander un congé annuel, un congé spécial, un congé
de maladie ou un flexileave. Pour automatiser ce processus, les utilisateurs doivent remplir un
formulaire de demande de congé, qui se trouve à présent sur le portail intranet/extranet. Le
système de gestion informatisée se chargera ensuite d'acheminer ce formulaire vers le
gestionnaire et l'unité RH.
Une fois approuvée par le gestionnaire direct de l'agent et/ou l'unité RH, en fonction du type de
congé, la demande figurant sur le formulaire sera automatiquement chargée dans la base de
données de l'unité RH. Le module "Congés" de la base de données de l'unité RH sert à gérer le
nombre de jours attribués aux agents et à tenir un bilan actualisé des journées prises.
1
2
Les conditions de travail des fonctionnaires, appliquées par analogie avec celles des autres agents des
Communautés européennes, sont définies aux titres III et IV du Statut du personnel.
Règles consolidées en matière de congés et de conditions de travail.
2
Le traitement s'effectue essentiellement de manière électronique et automatisée. Le système de
gestion informatisée des congés est utilisé pour effectuer des demandes de congés annuels,
spéciaux, de maladie et de flexileave. La demande de congé introduite par l'agent est transmise
au gestionnaire direct qui l'approuve ou la rejette. En cas de rejet, elle est renvoyée à l'agent
(éventuellement assortie d'une motivation ajoutée dans la case des observations). Si elle est
approuvée par le gestionnaire direct, la demande de congé est transmise pour validation à l'équipe
"congés" de l'unité RH. Dès qu'elles sont acceptées par cette dernière, les demandes de congé
sont automatiquement confirmées dans la base de données Centurio de l'unité RH. Dans le
nouveau système de gestion informatisée, la demande de congés annuels ne sera adressée qu'au
gestionnaire direct et sera ensuite confirmée directement dans la base de données.
Certaines phases du traitement s'effectuent manuellement. C'est ainsi que les demandes de congé
parental ou familial, de CCP, de travail à temps partiel, les demandes de passer le congé de
maladie hors du lieu d'affectation ou celles d'examens ou de visite médicale hors du lieu
d'affectation sont transmises via un formulaire papier et traitées manuellement. La demande est
introduite par l'agent et transmise à l'unité RH pour validation.
Une fois qu'elles ont été validées, les demandes de congé parental ou familial, de CCP ou de
travail à temps partiel suivent le chemin nécessaire avant de parvenir au directeur exécutif pour
décision finale. Pour ce qui est des demandes de congé de maladie hors du lieu d'affectation ou
d'examens ou de visite médicale hors du lieu d'affectation, les dossiers sont adressés directement
au médecin-conseil de l'EFSA pour avis après avoir été validées par l'unité RH.
Lors de la validation et en fonction du motif de la demande, l'agent peut être invité à fournir des
pièces justificatives de nature personnelle ou médicale. Si, parmi ces informations, figurent des
renvois à des données médicales (diagnostic de santé de l'agent ou d'un membre de sa famille),
elles sont directement adressées au médecin-conseil de l'EFSA dans une enveloppe scellée et
marquée "confidentiel". La gestion des documents et leur parcours sont décrits en détail dans la
partie V du document d'assistance administrative interne, dans lequel il est prévu que les
documents de l'agent contenant des données médicales ou des éléments de diagnostic de santé
sont conservés dans le dossier médical de l'agent chez le médecin-conseil de l'EFSA. Seul l'avis
de ce dernier peut être consigné dans les formulaires ou en pièce jointe au dossier. Cet avis ne
comporte aucune référence à des données médicales en tant que telles (ce n'est qu'un document
administratif).
Une fois que le dossier a été complété avec les signatures du chef d'unité compétent, du directeur
ou du directeur exécutif, selon les cas, il est classé dans le dossier personnel de l'agent, avec copie
adressée à ce dernier. Les certificats médicaux fournis par l'agent seront conservés dans son
dossier médical, tandis que ceux des membres de sa famille lui seront renvoyés après leur
validation.
Il existe deux catégories principales de personnes concernées, à savoir:

le personnel de l'EFSA, c'est-à-dire les fonctionnaires, les agents temporaires, les agents
contractuels et les experts nationaux détachés 3 .

selon les catégories particulières de congés, les membres de la famille des agents de l'EFSA
tels que le conjoint, les enfants et les ascendants.
3
D'après les articles 13, 14 et 15 des nouvelles dispositions relatives aux experts nationaux détachés, ceux-ci
disposent à présent des mêmes droits à congés que les autres catégories d'agents de l'EFSA.
3
Catégories de données traitées:
1)
l'identification de la personne concernée;
2)
en ce qui concerne les agents de l'EFSA:
a)
3)
emploi principal et carrière au sein de l'EFSA: date de prise de fonction à l'EFSA,
catégorie et grade, années de service, cessation du contrat avec l'EFSA, lieu d'origine
et nationalité;
b) pièces justificatives pour les différentes catégories de congé, informations relatives au
transfert de congés annuels non pris l'année précédente, informations concernant les
missions effectuées;
c) informations relatives à la situation familiale de l'agent de l'EFSA, notamment ses
liens de parenté avec les membres de sa famille;
catégories particulières de données à caractère personnel, au sens de l'article 10,
paragraphe 2, du règlement (CE) n° 45/2001, notamment:
a)
b)
c)
données relatives à la santé 4 , telles que certificats médicaux, confirmation de
traitements ou de rendez-vous médicaux, données médicales et éléments de diagnostic
de santé de l'agent de l'EFSA et des membres de sa famille, notamment le conjoint, les
enfants et les ascendants;
informations concernant l'appartenance à un syndicat, une éventuelle nomination
politique ou la participation aux élections du Comité du personnel de l'EFSA;
indirectement: données laissant apparaître la vie sexuelle (le traitement de certaines
pièces justificatives de congé, en particulier concernant, dans la catégorie des congés
spéciaux, les "congés familiaux" (conjoint de l'agent), pourrait être considéré comme
faisant apparaître indirectement l'orientation sexuelle de l'intéressé).
Par ailleurs, en ce qui concerne les catégories de données, en particulier celles de données
sensibles, le responsable du traitement a apporté les précisions ci-après.
L'agent a actuellement la possibilité de joindre des pièces justificatives à sa demande de congé
initiale et aussi de communiquer ces éléments d'information à un stade ultérieur, au cas où il n'en
disposerait pas au moment du dépôt de sa demande. La préoccupation relative au traitement de
données sensibles concernant la santé a été relevée il y a quelque temps et l'EFSA est en train de
finir la mise au point d'un nouveau système de gestion informatisée des demandes de congé.
Celui-ci permettra aux agents ayant demandé un congé de maladie ou un congé spécial avec
certificat de transmettre cette demande directement à l'unité RH. Le gestionnaire direct ne devra
intervenir à aucun stade de la procédure et il sera simplement informé de l'existence de la
demande, sans aucune indication quant à la nature précise du congé. Le projet de manuel
d'utilisation concernant ce nouveau système de gestion informatisée des demandes de congé a été
transmis au CEPD. Outre l'équipe "congés" de l'unité RH, seul un nombre restreint d'agents de
l'unité TI peut avoir accès, à des fins de maintenance du système, à l'intégralité du système de
gestion informatisée.
4
À l'EFSA, le traitement uniquement sur papier des données médicales et d'éléments diagnostic de santé au
sens strict implique exclusivement la personne concernée et le médecin-conseil de l'EFSA. Par contre, d'autres
opérateurs interviennent dans le traitement de documents administratifs contenant des données à caractère
personnel ayant trait à l'état de santé de la personne.
4
La notification fournit la liste ci-après des personnes destinataires des données: le gestionnaire
direct de la personne concernée et son chef d'unité, les directeurs, le directeur exécutif, l'unité
RH, le médecin-conseil de l'EFSA, un médecin indépendant 5 , la commission d'invalidité, l'unité
TI (soutien des systèmes de gestion électronique), les organes d'audit, y compris l'auditeur
interne de l'EFSA, le service d'audit interne, la Cour des comptes européenne, le Médiateur
européen, le Tribunal de la fonction publique et le CEPD. Il y est également affirmé
explicitement qu'il convient d'y ajouter aussi des membres de l'unité "Finances" chargés de
vérifier les congés annuels en rapport avec les ordres de mission.
Dans ses observations finales, le responsable du traitement soulignait que l'accord de la hiérarchie
est nécessaire et sollicité uniquement dans le cas de demandes de congé particulières telles que les
CCP, les congés parentaux et le travail à temps partiel, dont la transmission s'opère manuellement.
Les directeurs n'interviennent dans le traitement électronique des demandes de congés que lorsque
celles-ci émanent d'un chef d'unité relevant de leur direction.
En outre, le contrat entre l'EFSA et son médecin-conseil comporte un chapitre relatif à la
protection des données. Au point 1.8.1 de ce contrat, il est stipulé que le règlement (CE)
n° 45/2001 s'applique au traitement des données à caractère personnel faisant l'objet de celui-ci.
Le point 1.8.2 précise que le contrat implique que les données médicales doivent être traitées
conformément à l'article 10, paragraphe 3, du règlement (CE) n° 45/2001. Enfin, le point 1.8.3
spécifie également qu'en ce qui concerne les données médicales et les éléments de diagnostic de
santé, le médecin-conseil de l'EFSA est considéré comme un responsable du traitement.
En ce qui concerne la conservation des données, différentes durées ont été retenues. Dans la
notification, il est souligné que les demandes de congés annuels, spéciaux, de maladie ou de
flexileave sont conservées sous forme électronique dans le système de gestion Livelink sur le
serveur de l'EFSA. Dans le cadre du nouveau système de gestion informatisée, ces demandes
seront toujours conservées sous forme électronique sur les serveurs de l'EFSA, mais plus via
Livelink. Les certificats médicaux ne comportant aucune indication sur le diagnostic médical et
joints au formulaire électronique de demande de congé seront également conservés sur le serveur
de l'EFSA. Ces données sont conservées pendant trois ans, puis encore pendant deux ans sur cdrom dans les archives de l'EFSA. Elles sont éliminées au bout de cinq ans.
Les demandes de congé parental ou familial sont conservées pendant deux années après
l'échéance du droit à congé, avant d'être éliminées.
Les demandes de CCP ou de travail à temps partiel ne sont éliminées qu'après le décès de l'agent
et la fin du paiement d'une pension à ses descendants.
Les documents ou certificats contenant une mention relative à des données médicales ou à un
diagnostic médical sont conservés dans le dossier médical de l'agent, qui est tenu par le médecinconseil de l'EFSA. Ce dossier médical est remis à l'agent lorsqu'il quitte l'EFSA. À ce stade,
l'agent peut choisir de faire transmettre son dossier médical par le médecin-conseil de l'EFSA
directement à son nouveau lieu d'affectation. Si l'agent a passé son examen médical
d'embauchage au centre médial de la Commission européenne à Bruxelles, l'EFSA est tenue d'y
retourner le dossier médical.
Les pièces justificatives concernant les membres de la famille de l'agent ne sont conservées que
jusqu'à leur validation par le personnel de l'unité RH et/ou par le médecin-conseil de l'EFSA.
Après cette validation, elles sont rendues à l'agent concerné.
5
En cas de congé de maladie de longue durée, un médecin indépendant aurait accès aux données médicales de
l'agent concernant les périodes précises de congé de maladie, pour lui permettre de s'assurer du bien-être de
l'agent et de vérifier que l'absence se justifie. À cette fin, l'EFSA est actuellement liée par un accord de niveau
de service avec le Service médical à Bruxelles.
5
En ce qui concerne la conservation de documents à des fins historiques, statistiques ou
scientifiques, il est fait recours à l'outil de création de rapports de la société Business Objects
(BO) pour établir différents rapports à partir du module "congés" de Centurio, notamment des
statistiques relatives aux congés de maladie et aux congés spéciaux.
Dans ses observations finales, le responsable du traitement a confirmé le caractère anonyme de
toutes les données statistiques extraites des rapports BO et/ou de la base de données de
l'unité RH. Les seuls rapports BO contenant les données personnelles des personnes concernées
sont ceux que ces dernières sont en mesure de générer. Ces rapports ne sont visibles que par
l'agent en personne ou le gestionnaire des congés au sein de l'unité RH.
En ce qui concerne le stockage des données, l'EFSA applique les procédures suivantes:
1)
base de données Centurio de l'unité RH: cette base de données est hébergée sur les serveurs
de l'EFSA. Elle est subdivisée en modules auxquels ne peuvent accéder que les agents de
l'unité RH travaillant dans le domaine couvert par le module concerné (c'est ainsi que le
module "Congés" n'est accessible qu'au personnel compétent de l'unité RH);
2) les demandes de congé électroniques et les pièces justificatives s'y rapportant sont
conservées dans le système de gestion informatisée des congés, dans l'application Livelink
sur le serveur de l'EFSA. À l'avenir, ces documents seront conservés sous forme
électronique, ailleurs que dans Livelink. Il demeureront "actifs", c'est-à-dire que des
modifications pourront y être apportées à la demande jusqu'à 45 jours après la date du
congé, ce qui permettra, par exemple, de convertir celui-ci en flexileave ou en congé
spécial. Passé ce délai, les demandes seront archivées.
Seul le personnel compétent de l'unité RH peut avoir accès au système de gestion
informatisée dans son ensemble;
3) le système d'enregistrement du temps/Flexitime est hébergé sur les serveurs de l'EFSA et
son accès est subordonné à l'introduction d'un nom d'utilisateur et d'un mot de passe.
Les droits d'accès et de rectification ci-après sont explicités dans la notification. Tous les agents
ont accès au premier niveau du système de gestion informatisée des congés, afin d'y introduire
une demande de congé. Les agents peuvent consulter leurs données individuelles concernant leur
solde de jours de congé et leurs droits à congé au moyen d'un outil de création de rapports de la
société Business Objects. Par ailleurs, les documents fournis indiquent que les agents de l'EFSA
peuvent s'adresser à l'équipe de gestion des congés de l'unité RH ou visualiser à l'écran
l'enregistrement de certaines absences au moyen d'un outil personnalisé de création de rapports
de Business Objects. Les membres de la famille des agents de l'EFSA peuvent demander à
accéder à leurs données personnelles détenues par l'EFSA via l'agent concerné ou ils peuvent
adresser une demande particulière d'accès à leurs données personnelles directement au
responsable du traitement. En outre, il est bien précisé dans la notification que les personnes
concernées peuvent exercer leurs droits à tout moment en s'adressant au personnel compétent de
l'unité RH. Les demandes motivées de verrouillage ou d'effacement de données seront traitées
dans les cinq jours ouvrables.
En ce qui concerne les informations fournies aux agents, un document d'assistance
administrative interne contenant les règles consolidées en matière de congés et de conditions de
travail a été diffusé auprès de l'ensemble du personnel en juin 2009 et est consultable sur
l'intranet de l'EFSA. La partie VI de ce document contient une note particulière sur le traitement
des données à caractère personnel dans le cadre de la gestion des congés, dans laquelle sont
fournis des éléments de référence tels que l'objet du traitement de données, la base juridique, le
responsable du traitement, les destinataires, les personnes concernées, les droits d'accès et de
rectification, le type de données personnelles concernées, les moyens de stockage utilisés, le
délai de conservation des données, ainsi que le droit de saisir à tout moment le CEPD.
En outre, l'unité RH veille à diffuser régulièrement auprès de tout le personnel des informations
et de nouveaux documents d'assistance administrative sur des sujets précis, ainsi qu'à organiser
des séances d'explication et de formation consacrées à la notion de droits à congés, ainsi qu'aux
outils électroniques mis en œuvre et aux méthodes de gestion appliquées. L'ensemble du
personnel peut également prendre connaissance du document "Foire aux questions".
6
Pour ce qui est des mesures de sécurité, un audit externe des systèmes informatiques de l'EFSA
a été effectué au cours du premier semestre de 2009. L'EFSA met à profit les conclusions du
rapport en élaborant un plan d'action et un rapport sur l'état d'avancement des travaux. En ce qui
concerne la gestion de la sécurité des informations, l'EFSA travaille en ce moment à un projet de
politique globale sur la sécurité, en s'appuyant sur les lignes directrices de l'UE en la matière et
étudie les modalités d'adoption des normes de sécurité ISO 27001 pour ce qui est de ses principes
de base.
3. Les aspects légaux
3.1 Contrôle préalable
La procédure suivie à l'EFSA en matière de congés telle que décrite dans la notification transmise
par le délégué à la protection des données porte sur le traitement de données à caractère personnel
("toute information concernant une personne identifiée ou identifiable" - article 2, point a), du
règlement (CE) n° 45/2001). Le traitement de données présenté est effectué par un organe
communautaire et est mis en œuvre pour l'exercice d'activités relevant du champ d'application du
droit communautaire (article 3, paragraphe 1).
Ce traitement s'opère principalement de manière électronique et automatisée, seuls les documents
faisant apparaître l'état de santé de la personne ou contenant des données médicales ou des
éléments de diagnostic de santé étant traités sur papier. L'article 3, paragraphe 2, est donc
applicable en l'espèce.
Dès lors, le traitement tombe sous le champ d'application du règlement (CE) n° 45/2001.
L'article 27, paragraphe 1, du règlement (CE) 45/2001 soumet à un contrôle préalable du CEPD
tous les "traitements susceptibles de présenter des risques particuliers au regard des droits et
libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités". Le
paragraphe 2 énumère les traitements susceptibles de présenter de tels risques. Les "traitements
de données relatives à la santé ..." visés à l'article 27, paragraphe 2, point a), font partie de cette
liste.
Lorsqu'une absence est enregistrée, il arrive que l'on traite des données à caractère personnel
relatives à la santé. En l'espèce, les données faisant l'objet d'un traitement relèvent sans le
moindre doute de la catégorie des "données relatives à la santé".
Pour ce qui est du système Flexitime, le CEPD estime que le traitement en soi ne relève pas du
champ d'application de l'article 27 du règlement (CE) n° 45/2001 et qu'il n'est dès lors pas soumis
à un contrôle préalable. Toutefois, étant donné qu'il s'inscrit dans le cadre plus vaste d'un
traitement de données soumis au contrôle préalable, le traitement des données à caractère
personnel relatives au Flexitime est inclus dans le présent examen 6 .
En principe, le contrôle effectué par le Contrôleur européen de la protection des données est
préalable à la mise en place de la procédure. Dans le cas présent, en raison des retards pris dans
la notification au Contrôleur européen de la protection des données, le contrôle doit
nécessairement s'effectuer a posteriori. Toutefois, en l'espèce, le traitement a déjà été mis en
place. En tout état de cause, il y a lieu que toutes les recommandations formulées par le CEPD
6
Des précisions ont été apportées au DPD de l'EFSA, après une consultation de sa part sur ce point (réponse en
date du 10 juillet 2008). Voir également à cet égard les avis intitulés "SYSPER 2: module Time Management"
(dossier 2007-0063) et "Mise en oeuvre du Flexitime spécifique à la DG INFSO" (dossier 2007-218), tous
deux disponibles sur le site web du CEPD.
7
soient pleinement prises en compte et que les opérations de traitement soient modifiées en
conséquence.
La notification du Délégué à la protection des données de l'EFSA a été reçue le 9 juillet 2009.
Conformément à l'article 27, paragraphe 4, du règlement, le Contrôleur européen de la protection
des données aurait dû rendre son avis dans un délai de deux mois. Toutefois, compte tenu des
52 jours de suspension du dossier (auxquels s'ajoute la pause du mois d'août), le CEPD devait
rendre son avis au plus tard le 3 décembre 2009.
3.2. Licéité du traitement
Il convient d'examiner la licéité du traitement à la lumière de l'article 5, point a), du règlement
(CE) n° 45/2001. Cet article prévoit que le traitement ne peut être effectué que si "le traitement est
nécessaire à l'exécution d'une mission effectuée dans l'intérêt public sur la base des traités
instituant les Communautés européennes … ou relevant de l'exercice légitime de l'autorité
publique dont est investie l'institution". Le considérant 27 du règlement prévoit par ailleurs que "le
traitement de données à caractère personnel effectué pour l'exécution de mission d'intérêt public
par les institutions et organes comprend le traitement de données à caractère personnel
nécessaires pour la gestion et le fonctionnement de ces institutions et organes".
Le Statut du personnel, les dispositions d'application et les informations administratives des
Communautés européennes, ainsi que les règles internes adoptées par l'EFSA, définissent les
modalités de mise en œuvre de la disposition relative aux absences et aux congés.
Par exemple, le contrôle des absences pour maladie se fait non seulement sur la base du Statut
des fonctionnaires, mais aussi dans le cadre de la gestion et du fonctionnement de l'agence, tels
qu'adoptés en application des traités.
Le CEPD note que le traitement des données à caractère personnel en rapport avec la gestion des
congés est considéré comme nécessaire pour permettre à l'EFSA de remplir ses obligations à
l'égard du personnel, comme prévu par le statut des Communautés européennes (ainsi que les
actes juridiques adoptés sur cette base, comme les règles consolidées en matière de congés et de
conditions de travail) et qu'il s'avère dès lors licite, conformément à l'article 5, point a), du
règlement (CE) n° 45/2001.
3.3. Traitement portant sur des catégories particulières de données
L'article 10 du règlement prévoit que le traitement de données à caractère personnel relatives à des
catégories particulières de données est interdit, à moins qu'il ne soit justifié par des motifs visés à
l'article 10, paragraphes 2 et 3, du règlement (CE) n° 45/2001.
L'article 10, paragraphe 2, point b), s'applique en l'espèce: "le paragraphe 1 (interdiction du
traitement des données relatives à la santé) ne s'applique pas lorsque (…) le traitement est
nécessaire afin de respecter les obligations et les droits spécifiques du responsable du traitement
en matière du droit du travail, dans la mesure où il est autorisé par les traités instituant les
Communautés européennes ou d'autres actes législatifs adoptés sur la base de ces traités ...".
En effet, il est précisé dans la notification que le traitement porte sur les données relatives à la
santé, telles que les certificats médicaux, les confirmations de traitements ou de rendez-vous
médicaux, les données médicales et les éléments de diagnostic de santé de l'agent de l'EFSA et des
membres de sa famille, notamment le conjoint, les enfants et les ascendants.
8
À cet égard, il est important de souligner que l'article 10, paragraphe 3, prévoit que ce traitement
de données n'est autorisé que s'il est effectué par un praticien de la santé soumis au secret
professionnel ou par une autre personne également soumise à une obligation de secret équivalente,
ce qui est le cas ici.
Par ailleurs, les informations concernant l'appartenance à un syndicat, à une éventuelle nomination
politique ou la participation aux élections du Comité du personnel de l'EFSA peuvent également
faire l'objet d'un traitement. Enfin, des données susceptibles de révéler indirectement l'orientation
sexuelle font également l'objet d'un traitement.
Le traitement de ces catégories particulières de données est nécessaire en vue de remplir les
obligations légales de l'EFSA à l'égard de son personnel, telles qu'énoncées dans le statut des
fonctionnaires des Communautés européennes.
Compte tenu de ce qui précède, le CEPD estime que le traitement de données à caractère
personnel concernant des données à caractère personnel sensibles s'effectue dans le respect de
l'article 10 du règlement.
3.4. Qualité des données
Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement (article 4,
paragraphe 1, point c), du règlement).
D'après les informations fournies dans la notification et dans les documents complémentaires, les
données traitées aux fins de la gestion des congés (annuels et spéciaux), des congés de maladie et
des heures supplémentaires sont adéquates, pertinentes et non excessives.
Conformément à l'article 4, paragraphe 1, point d), du règlement, les données à caractère
personnel doivent être "exactes et, si nécessaire, mises à jour" et "toutes les mesures
raisonnables sont prises pour que les données inexactes ou incomplètes, au regard des finalités
pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient
effacées ou rectifiées". Dès lors, la procédure permet raisonnablement de penser que les données
sont exactes et mises à jour. En effet, il est souligné dans la notification que les personnes
concernées ont la faculté d'exercer leurs droits à tout moment, en s'adressant au personnel
compétent de l'unité RH et que les demandes motivées de verrouillage ou d'effacement seront
traitées dans les cinq jours ouvrables.
L'autre aspect principal permettant de garantir la qualité des données et de s'assurer de leur
exhaustivité est représenté par le droit des personnes concernées d'y avoir accès et de les rectifier
(voir infra point 3.8).
Enfin, les données doivent être traitées loyalement et licitement (article 4, paragraphe 1, point a)).
La licéité a déjà fait l'objet d'un examen (voir supra point 3.2). Quant à la loyauté, dans le cadre
d'un sujet aussi sensible, elle doit faire l'objet de beaucoup d'attention. Elle est liée aux
informations qui doivent être transmises à la personne concernée (voir infra point 3.9).
3.5. Conservation des données
L'article 4, paragraphe 1, point e), du règlement (CE) n° 45/2001 pose le principe que les données
doivent être "conservées sous une forme permettant l'identification des personnes concernées
pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles
elles sont collectées ou pour lesquelles elles sont traitées ultérieurement".
9
Comme déjà expliqué dans la partie relative aux "faits", plusieurs délais de conservation ont été
établis.
Les demandes de congés annuels, spéciaux, de maladie ou de flexileave, ainsi que les certificats
médicaux ne contenant aucune indication du diagnostic médical, joints au formulaire électronique
de demande de congé, sont conservés pendant trois ans, puis encore pendant deux ans sur cd-rom
dans les archives de l'EFSA. Elles sont éliminées au bout de cinq ans.
Le CEPD estime que les données relatives aux congés pour maladie peuvent en effet être
conservées pendant les trois premières années dans la mesure où elles sont jugées nécessaires
pour établir une éventuelle invalidité conformément à l'article 59, paragraphe 4, du Statut 7 .
Les demandes de congé parental ou familial sont conservées pendant deux années après
l'échéance du droit à congé, avant d'être éliminées. Le congé parental ou familial n'a aucune
incidence sur les droits à pension, les cotisations continuant à être versées pendant ce type de
congé. La durée du congé parental ou familial est consignée dans la base de données de
l'unité RH lorsque la demande est accordée. Pour ce qui est des CCP ou du travail à temps
partiel, l'agent peut choisir de verser au régime de retraite des cotisations correspondant au plein
temps ou au temps partiel ou de n'en verser aucune. C'est pourquoi les demandes de CCP ou de
travail à temps partiel ne sont éliminées qu'au décès de l'agent et à la fin du paiement de la
pension à ses descendants.
Le CEPD marque son accord sur ces délais de conservation.
Les documents ou certificats contenant une mention relative à des données médicales ou à un
diagnostic médical sont conservés dans le dossier médical de l'agent, qui est tenu par le médecinconseil de l'EFSA. Ce dossier médical est remis à l'agent lorsqu'il quitte l'EFSA. À ce stade,
l'agent peut choisir de faire transmettre son dossier médical par le médecin-conseil de l'EFSA
directement à son nouveau lieu d'affectation. Si l'agent a passé son examen médical
d'embauchage au centre médial de la Commission européenne à Bruxelles, l'EFSA est tenue d'y
retourner le dossier médical.
Les pièces justificatives concernant les membres de la famille de l'agent ne sont conservées que
jusqu'à leur validation par le personnel de l'unité RH et/ou par le médecin-conseil de l'EFSA.
Après cette validation, elles sont rendues à l'agent concerné.
Compte tenu des délais de conservation prévus, le CEPD n'a pas d'observations à formuler
concernant les délais de conservation fixés par le responsable du traitement.
En ce qui concerne les autres délais de conservation, le CEPD tient à attirer l'attention de l'EFSA
sur le dernier paragraphe de l'article 49 des modalités d'exécution du règlement financier, selon
lequel "les données à caractère personnel contenues dans les pièces justificatives sont
supprimées si possible lorsqu'elles ne sont pas nécessaires aux fins de la décharge budgétaire,
du contrôle et de l'audit".
L'article 4, paragraphe 1, point e), du règlement prévoit que les données peuvent être conservées
pour une période allant au-delà de celle nécessaire à la finalité pour laquelle elles ont été
collectées, et notamment à des fins statistiques, si elles sont conservées sous une forme anonyme
ou, si cela est impossible, à condition que l'identité de la personne soit cryptée. Les données ne
doivent en tout cas pas être utilisées à d'autres fins qu'historiques, statistiques ou scientifiques.
7
Lu conjointement aux articles 16, 58 et 91 du régime applicable aux autres agents des Communautés
européennes; voir avis du CEPD du 26 février 2007 relatif aux délais de conservation des documents
médicaux.
10
D'après la notification, il est fait recours à l'outil de création de rapports de la société Business
Objects pour établir différents rapports à partir du module "congés" de Centurio, notamment des
statistiques relatives aux congés de maladie et aux congés spéciaux. À la lumière du point
précédent, le CEPD souligne que l'EFSA devrait s'assurer que les données statistiques traitées
sont effectivement anonymes et ne laissent pas apparaître d'informations concernant des
individus en particulier.
3.6. Transfert des données
Sont destinataires des données le gestionnaire direct de la personne concernée et son chef d'unité,
les directeurs, le directeur exécutif, l'unité RH, le médecin-conseil de l'EFSA, un médecin
indépendant, la commission d'invalidité, l'unité TI, les organes d'audit, y compris l'auditeur interne
de l'EFSA, le service d'audit interne, la Cour des comptes européenne, le Médiateur européen, le
Tribunal de la fonction publique, le CEPD et des membres de l'unité "Finances" chargés de
vérifier les congés annuels en rapport avec les ordres de mission.
Le traitement doit donc être examiné à la lumière de l'article 7, paragraphe 1, du règlement (CE)
n° 45/2001 qui ne concerne les transferts de données à caractère personnel entre institutions ou
organes communautaires ou en leur sein "que si elles sont nécessaires à l'exécution légitime de
missions relevant de la compétence du destinataire".
Dans la plupart des cas, ce transfert est jugé nécessaire pour l'approbation des demandes de congé
et l'enregistrement de ces demandes. Le CEPD nourrit quelques doutes en ce qui concerne le
transfert de ces données aux directeurs et au directeur exécutif dans le cadre de la bonne
application du régime de congés. Ces transferts ne peuvent être requis que lorsqu'il s'agit de
décider si l'absence est justifiée ou non et d'en tirer d'éventuelles conclusions sur le plan
administratif ou disciplinaire, mais pas dans tous les cas où l'intervention du gestionnaire direct ou
du chef d'unité est suffisante (selon les directives du "Manuel d'utilisation des demandes de
congé". Bien que la situation puisse ne pas laisser de doutes dans la pratique, le CEPD demande
au responsable du traitement d'adapter son formulaire de notification aux cas particuliers de
transfert, de manière à préciser qui sont les destinataires et de quelles parties du traitement.
À la lecture des documents fournis, le CEPD conclut que seul un nombre restreint d'agents de
l'unité TI peut avoir accès, à des fins de maintenance du système, à l'intégralité du système de
gestion informatisée.
Concernant ces transferts, rappelons qu'il n'y a lieu de transférer que les données pertinentes. Ce
transfert est donc bien licite dans la mesure où la finalité est couverte par les compétences des
destinataires. L'article 7, paragraphe 1, est donc bien intégralement respecté.
L'article 7, paragraphe 3, du règlement (CE) n° 45/2001 stipule que "le destinataire traite les
données à caractère personnel uniquement aux fins qui ont motivé leur transmission".
Quant aux transferts dans des cas exceptionnels à des tiers comme le Service juridique interne, le
Tribunal de la fonction publique, le Médiateur européen ou le CEPD, le CEPD est d'avis que ces
transferts sont conformes à l'article 7 du règlement puisqu'ils peuvent être considérés comme
nécessaires à l'exécution légitime des missions relevant de la compétence du destinataire. Par
exemple, sur base de l'article 33 (Réclamations du personnel des Communautés) ou sur base de
l'article 47, paragraphe 2, point a), le CEPD dispose du droit d'obtenir du responsable du
traitement ou de l'institution ou organe communautaire, l'accès à toutes les données à caractère
personnel et à toutes les informations nécessaires à ses enquêtes.
11
Toutefois, les données à caractère personnel ne devraient être transférées que si ce transfert est
strictement nécessaire à l'exécution légitime des missions relevant de la compétence du
destinataire. Cela est particulièrement important en ce qui concerne le transfert de rapports
médicaux.
Comme expliqué dans la partie "Les faits", en cas de congé de maladie de longue durée, un
médecin indépendant aurait accès aux données médicales de l'agent concernant les périodes
précises de congé de maladie, pour lui permettre de s'assurer du bien-être de l'agent et de vérifier
que l'absence se justifie. À cette fin, l'EFSA est actuellement liée par un accord de niveau de
service (ANS) avec le Service médical à Bruxelles. Par conséquent, seul l'article 7 s'appliquerait
dans ce cas (annexe II de l'ANS).
Toutefois, en cas d'arbitrage (annexe II, point 5 de l'ANS), les données peuvent être
communiquées à un médecin externe choisi de commun accord par le médecin-contrôleur et le
médecin traitant ou autre médecin de l'agent.
Si le médecin-arbitre se trouve dans un des États membres relevant de la directive 9546/CE,
l'article 8 du règlement est d'application. En principe, en vertu de l'article 8, point b), il appartient
au destinataire de démontrer la nécessité du transfert et il ne peut y avoir aucune raison de penser
que ce transfert pourrait porter atteinte aux intérêts légitimes de la personne concernée. Dans le
cas présent, le destinataire n'aurait aucune peine à démontrer la nécessité du transfert puisque ces
données sont nécessaires afin qu'il puisse statuer sur le cas contesté. Par ailleurs, ce transfert ne
nuit aucunement aux intérêts légitimes de la personne concernée puisqu'il sert précisément une
procédure d'arbitrage lancée par la personne elle-même.
Dans l'hypothèse peu probable où le médecin-arbitre se trouverait dans un pays ne relevant pas
de la directive 95/46/CE, l'article 9 du règlement est d'application. En vertu de cette disposition,
le transfert ne peut avoir lieu que vers un pays offrant un niveau de protection adéquat. Si tel n'est
pas le cas, le consentement de la personne concernée devra être obtenu pour ce transfert et ce en
vertu de l'article 9, paragraphe 6, point a).
3.7. Traitement incluant le numéro personnel ou d'identification
L'article 10, paragraphe 6, du règlement dispose que "le contrôleur européen de la protection des
données détermine les conditions dans lesquelles un numéro personnel ou tout autre identifiant
utilisé de manière générale peut faire l'objet d'un traitement par une institution ou un organe
communautaire".
Le numéro personnel d'un agent peut être recueilli dans le cadre du traitement d'une demande de
congé. Le CEPD estime que cet usage est justifié car le numéro personnel identifie l'agent et
facilite le lien avec le bon dossier. Il n'y a pas de motif d'établir d'autres conditions dans le cas en
question.
3.8. Droit d'accès et de rectification
L'article 13 du règlement (CE) n° 45/2001 prévoit le droit d'accès à la demande de la personne
concernée par le traitement et il en fixe les modalités. En application de l'article 13 du règlement,
la personne concernée a le droit d'obtenir, sans contrainte, du responsable du traitement, la
communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que
de toute information disponible sur l'origine de ces données.
12
Le droit d'accès en rapport avec la gestion des congés de maladie est prévu pour les agents de
l'EFSA, ainsi que pour les membres de leur famille. Comme expliqué ci-dessus, tous les agents
ont accès au premier niveau du système de gestion informatisée des congés, afin d'y introduire
une demande de congé. Les agents peuvent soumettre des demandes à l'unité RH et consulter
leurs données individuelles concernant leur solde de jours de congé et leurs droits à congé au
moyen d'un outil de création de rapports de la société Business Objects.
L'article 14 du règlement (CE) n° 45/2001 accorde le droit de rectification à la personne
concernée. Outre le droit d'accès à ses données personnelles, celle-ci dispose également de celui
de les faire modifier, si nécessaire. Bien que le droit d'accès soit garanti, il reste des incertitudes
sur la mesure dans laquelle le droit de rectification est accordé à l'agent et aux membres de sa
famille. À cet égard, le responsable du traitement devrait veiller à une application complète de
l'article 14 du règlement (CE) n° 45/2001.
3.9. Information fournie aux personnes concernées
Le règlement (CE) n° 45/2001 prévoit aux articles 11 et 12 que la personne concernée doit être
informée lorsqu'il y a traitement de ses données personnelles et énumère une série de mentions
obligatoires dans cette information.
Ces dispositions s'appliquent dans le cas présent, car l'information est recueillie auprès de la
personne concernée et de différents intervenants dans le processus.
Les agents sont informés de différentes manières: dans sa partie VI, le document sur les règles
consolidées en matière de congés et de conditions de travail, consultable sur l'intranet de l'EFSA,
contient une note particulière sur le traitement des données à caractère personnel dans le cadre de
la gestion des congés. Les différents éléments d'information à fournir en application de l'article 11
y sont mentionnés. En outre, l'unité RH veille à diffuser régulièrement auprès de tout le personnel
des informations et de nouveaux documents d'assistance administrative sur des sujets précis, ainsi
qu'à organiser des séances d'explication et de formation consacrées à la notion de droits à congés,
ainsi qu'aux outils électroniques mis en œuvre et aux méthodes de gestion appliquées. L'ensemble
du personnel peut également prendre connaissance du document "Foire aux questions". Le CEPD
est d'avis qu'au titre de bonnes pratiques, une "question" supplémentaire pourrait y figurer afin de
fournir des informations à propos du traitement des données à caractère personnel des agents.
3.10. Mesures de sécurité
Conformément à l'article 22 du règlement (CE) n° 45/2001 relatif à la sécurité des traitements, "le
responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées
pour assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et
de la nature des données à caractère personnel à protéger".
Le CEPD a demandé un complément d'informations concernant les aspects du traitement liés à la
sécurité. Cela se justifiait par la nécessité d'assurer un niveau de sécurité approprié pour le
traitement des données de santé à l'EFSA.
[...]
Le CEPD a analysé les documents fournis et considère que, sur la base des informations obtenues
dans le cadre de la notification, l'article 22 est respecté.
13
Conclusion:
Le traitement proposé ne paraît pas entraîner de violations des dispositions du règlement (CE)
n° 45/2001 pour autant qu'il soit tenu compte des observations faites ci-dessus. Cela implique, en
particulier que:

le responsable du traitement adapte sa notification pour tenir compte des différents
transferts qui sont nécessaires dans le cadre de l'application du système de congés;

le responsable du traitement applique intégralement les dispositions de l'article 14 du
règlement (CE) n° 45/2001.
Fait à Bruxelles, le 1er décembre 2009
(Signé)
Giovanni BUTTARELLI
Contrôleur européen adjoint de la protection des données
14
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertising