Lignes directrices sur les données à caractère …...5 | P a g e 1. INTRODUCTION 1 Les présentes lignes directrices ont pour but de fournir aux institutions et organes de l’Union

Lignes directrices sur les donneacutees agrave caractegravere

personnel et les communications

eacutelectroniques au sein des institutions de lrsquoUnion

Deacutecembre 2015

1 | P a g e

Synthegravese

Pour la majoriteacute de la population les communications eacutelectroniques telles que le courrier

eacutelectronique internet et la teacuteleacutephonie occupent une place centrale dans les activiteacutes priveacutees et

professionnelles quotidiennes

En effet les communications eacutelectroniques sont aujourdrsquohui essentielles au fonctionnement

efficace de la majoriteacute des organisations et les institutions organes offices et agences de

lrsquoUnion (les laquoinstitutions europeacuteennesraquo) ne font pas exception agrave la regravegle

Les preacutesentes lignes directrices ont pour but de fournir aux institutions europeacuteennes des

conseils et instructions concernant le traitement des informations agrave caractegravere personnel dans

le cadre de lrsquoutilisation des outils de communication eacutelectronique pour srsquoassurer qursquoelles

respectent leurs obligations en matiegravere de protection des donneacutees agrave caractegravere personnel telles

qursquoeacutenonceacutees dans le regraveglement (CE) ndeg 452001 sur la protection des donneacutees applicables aux

institutions europeacuteennes (le laquoregraveglementraquo)

En principe les organisations utilisant les communications eacutelectroniques traitent les donneacutees

agrave caractegravere personnel de leurs travailleurs par exemple dans le cadre de la gestion des

services de communication eacutelectronique de la facturation et de la veacuterification de lrsquousage

autoriseacute Dans la plupart des cas un usage priveacute limiteacute des eacutequipements de travail est permis

de sorte que lrsquointervention drsquoun employeur sur lrsquoutilisation des communications eacutelectroniques

par les travailleurs est susceptible de toucher agrave des aspects directement lieacutes agrave leur vie priveacutee

Les communications eacutelectroniques sont donc un sujet complexe qui requiert des orientations

En outre ce domaine lrsquoun des plus dynamiques de la technologie eacutevolue rapidement Par

conseacutequent les preacutesentes lignes directrices adoptent une approche neutre sur le plan

technologique et ne preacuteconisent pas de mesures techniques speacutecifiques Elles mettent plutocirct

clairement lrsquoaccent sur les principes geacuteneacuteraux en matiegravere de protection des donneacutees qui

permettront aux institutions europeacuteennes de respecter le regraveglement sur la protection des

donneacutees

Si les preacutesentes lignes directrices sont en principe destineacutees aux institutions europeacuteennes

toute personne ou tout organisme ayant un inteacuterecirct pour la protection des donneacutees et les

communications eacutelectroniques pourrait les trouver utiles le regraveglement est similaire agrave de

nombreux eacutegards agrave la directive (CE) 9546 relative agrave la protection des donneacutees qui est

transposeacutee dans les leacutegislations nationales des Eacutetats membres de lrsquoUnion ainsi que dans les

regravegles nationales de lrsquoIslande du Liechtenstein et de la Norvegravege

2 | P a g e

Reacutesumeacute des recommandations

Ci-dessous figure une liste des recommandations formuleacutees dans les lignes directrices Le

controcircleur europeacuteen de la protection des donneacutees (CEPD) srsquoen servira comme liste de

controcircle pour eacutevaluer votre respect des obligations eacutenonceacutees dans le regraveglement

Recommandations concernant des opeacuterations speacutecifiques de traitement de donneacutees

Sur la seacutecuriteacute des systegravemes et la gestion du trafic

R1 Deacutefinissez le contenu des journaux de seacutecuriteacute et leur dureacutee de conservation en fonction

des besoins de votre institution en matiegravere de seacutecuriteacute

R2 Les donneacutees collecteacutees agrave des fins de controcircle de la seacutecuriteacute ne doivent ecirctre utiliseacutees qursquoagrave

cet effet

R3 Veillez au caractegravere anonyme des statistiques eacutetablies

Sur la gestion de la facturation et du budget

R4 Demandez aux prestataires externes de limiter au maximum la quantiteacute de donneacutees agrave

caractegravere personnel fournies aux institutions agrave des fins de facturation le cas eacutecheacuteant

R5 Fixez la dureacutee de conservation sur la base des deacutelais de contestation des factures

Sur lrsquousage autoriseacute des services de communication eacutelectronique

R6 Adoptez une approche progressive en ce qui concerne la surveillance de lrsquousage

autoriseacute des services de communication eacutelectronique

Sur lrsquoenregistrement de lignes teacuteleacutephoniques speacuteciales

R7 Adoptez une mesure administrative preacutecisant comment et pourquoi les appels

teacuteleacutephoniques doivent ecirctre enregistreacutes

R8 Informez les appelants et le personnel de lrsquoenregistrement (possible) de leurs appels

teacuteleacutephoniques avant que celui-ci nrsquoait lieu

Sur lrsquoaccegraves aux courriels en lrsquoabsence du travailleur

R9 Prenez des mesures de preacutecaution pour reacuteduire le besoin drsquoacceacuteder aux boicirctes aux

lettres eacutelectroniques personnelles agrave des fins de continuiteacute des activiteacutes

R10 Adoptez une politique drsquoaccegraves aux boicirctes aux lettres eacutelectroniques des membres du

personnel en leur absence

Sur les enquecirctes administratives et les proceacutedures disciplinaires

R11 Veillez agrave ce que lrsquoaccegraves aux donneacutees des communications eacutelectroniques soit couvert par

les regravegles relatives aux enquecirctes administratives et proceacutedures disciplinaires

R12 Preacutevoyez des garanties adeacutequates lors de la planification drsquoune surveillance discregravete

Recommandations horizontales srsquoappliquant agrave toutes les opeacuterations de traitement

R13 Pour chaque opeacuteration impliquant le traitement de donneacutees agrave caractegravere personnel

assurez-vous que les finaliteacutes soient deacutetermineacutees explicites et leacutegitimes

R14 Ne collectez et traitez que les donneacutees neacutecessaires agrave la reacutealisation de la ou des finaliteacutes

indiqueacutees

R15 Pour chaque opeacuteration de traitement fixez la dureacutee de conservation des donneacutees agrave

caractegravere personnel

R16 Pour chaque opeacuteration de traitement veillez agrave ce que les donneacutees soient traiteacutees pour la

finaliteacute indiqueacutee et qursquoelles ne soient pas traiteacutees ulteacuterieurement drsquoune maniegravere

incompatible avec la finaliteacute initiale

R17 Informez les personnes concerneacutees sur le traitement dont leurs donneacutees feront lrsquoobjet

R18 Veillez agrave ce que chacun puisse exercer facilement ses droits drsquoaccegraves et de rectification

R19 Geacuterez les politiques de votre institution relatives au traitement des donneacutees des

communications eacutelectroniques

3 | P a g e

R20 Notifiez vos opeacuterations de traitement au deacuteleacutegueacute agrave la protection des donneacutees

R21 Tenez votre documentation et vos notifications agrave jour

R22 Mettez en place un processus de gestion des risques correctement documenteacute pour

seacutecuriser les informations

R23 Preacutevoyez des clauses en matiegravere de protection des donneacutees dans les contrats conclus

avec les prestataires de services exteacuterieurs

R24 Surveillez les contractants pour veiller agrave ce qursquoils mettent correctement en œuvre les

clauses preacutevues par leurs contrats

4 | P a g e

TABLE DES MATIEgraveRES

1 Introduction 5

11 STRUCTURE 5

12 CHAMP DrsquoAPPLICATION 6

2 Recommandations relatives au traitement de donneacutees agrave caractegravere personnel pour des raisons

speacutecifiques 7

21 SEacuteCURITEacute DES SYSTEgraveMES ET GESTION DU TRAFIC 7

22 GESTION DE LA FACTURATION ET DU BUDGET 10

23 USAGE AUTORISEacute DES SERVICES DE COMMUNICATION EacuteLECTRONIQUE 11

231 Transparence et proceacutedures 12 232 Accegraves agrave lrsquointernet 13 233 Utilisation du teacuteleacutephone 13

24 ENREGISTREMENT DE LIGNES TEacuteLEacutePHONIQUES SPEacuteCIALES 14

25 ACCEgraveS AUX COURRIELS EN LrsquoABSENCE DU TRAVAILLEUR 16

26 ENQUEcircTES ADMINISTRATIVES ET PROCEacuteDURES DISCIPLINAIRES 18

261 Accegraves aux donneacutees des communications eacutelectroniques 18 262 Surveillance discregravete 19 263 Copie-image du contenu des ordinateurs ou drsquoautres appareils 20

3 Recommandations geacuteneacuterales concernant les informations agrave caractegravere personnel et les

communications eacutelectroniques 22

31 VEILLEZ Agrave POUVOIR RENDRE DES COMPTES 22

32 POURQUOI AVEZ-VOUS BESOIN DE TRAITER LES DONNEacuteES DES

COMMUNICATIONS EacuteLECTRONIQUES ET COMMENT ALLEZ-VOUS PROCEacuteDER 23

33 EST-CE LEacuteGAL 25

34 LES DONNEacuteES Agrave CARACTEgraveRE PERSONNEL NE DOIVENT EcircTRE UTILISEacuteES QUE

POUR LA FINALITEacute PREacuteVUE 26

35 LE DROIT DE SAVOIR 26

36 DROITS DrsquoACCEgraveS ET DE RECTIFICATION 29

37 DOCUMENTEZ CE QUE VOUS FAITES 30

38 MESURES DE SEacuteCURITEacute TECHNIQUES ET ORGANISATIONNELLES 32

381 Geacuterez les risques lieacutes agrave vos informations 32 382 Externalisation de services 33

Annexe 1 Reacutesumeacute des principes reacutegissant la protection des donneacutees 34

5 | P a g e

1 INTRODUCTION

1 Les preacutesentes lignes directrices ont pour but de fournir aux institutions et organes de

lrsquoUnion europeacuteenne des conseils et instructions pratiques sur le traitement des

donneacutees agrave caractegravere personnel dans le cadre de leur utilisation des outils de

communication eacutelectronique pour srsquoassurer qursquoils respectent leurs obligations en

matiegravere de protection des donneacutees telles qursquoeacutenonceacutees dans le regraveglement

2 Les preacutesentes lignes directrices srsquoappuient sur les deacutecisions et avis anteacuterieurs du

CEPD (sur les consultations administratives les controcircles preacutealables et les

reacuteclamations) ainsi que sur les travaux reacutealiseacutes par le groupe de travail laquoarticle 29raquo

(eacutetant donneacute que les termes et concepts utiliseacutes dans les regravegles applicables au niveau

national et aux institutions europeacuteennes sont fortement similaires le CEPD suit

lrsquointerpreacutetation du groupe de travail laquoarticle 29raquo le cas eacutecheacuteant) Lorsque nous ne

prenons pas position le CEPD prend en consideacuteration celle deacutefinie dans ces autres

documents

3 Les preacutesentes lignes directrices ont eacuteteacute eacutelaboreacutees sur la base drsquoune expeacuterience de

longue date Elles reposent sur le cadre juridique actuel Si des modifications des

regravegles relatives agrave la protection des donneacutees applicables aux institutions europeacuteennes se

profilent agrave lrsquohorizon les conseils fournis dans le preacutesent document resteront

pertinents Un changement qui devrait intervenir avec ces nouvelles regravegles concerne

lrsquoaccent mis sur lrsquoobligation de rendre des comptes modification que les preacutesentes

lignes directrices anticipent deacutejagrave

4 Si vous suivez les preacutesentes lignes directrices vous pouvez raisonnablement avoir

lrsquoassurance que vous respectez le regraveglement (CE) ndeg 452001 Le CEPD utilisera les

preacutesentes lignes directrices comme norme pour eacutevaluer votre respect du regraveglement

5 Si vous utilisez ces lignes directrices en tant que service informatique ou autre service

drsquoune institution europeacuteenne votre point de contact immeacutediat pour de plus amples

renseignements sera votre deacuteleacutegueacute agrave la protection des donneacutees Il y en a au moins un

dans chaque institution organe ou agence de lrsquoUnion et celui-ci pourra fournir des

orientations plus preacutecises

6 Les preacutesentes lignes directrices preacutesentent non seulement un inteacuterecirct speacutecifique pour

les deacuteleacutegueacutes agrave la protection des donneacutees les coordinateurs de la protection des

donneacutees les services informatiques et les autres services administratifs mais elles

pourraient eacutegalement inteacuteresser toute personne qui utilise les moyens de

communication eacutelectronique des institutions europeacuteennes (toutes les cateacutegories de

personnel les deacuteputeacutes au Parlement europeacuteen les deacuteleacutegueacutes des Eacutetats membres les

contractants les visiteurs etc)

11 Structure

7 Les preacutesentes lignes directrices sont diviseacutees en deux parties une section comportant

des recommandations geacuteneacuterales relatives agrave la protection des donneacutees dans le cadre de

6 | P a g e

lrsquoutilisation des communications eacutelectroniques et une autre traitant des preacuteoccupations

speacutecifiques avec des recommandations plus cibleacutees Les deux sections contiennent

des exemples pratiques pour illustrer le propos le cas eacutecheacuteant

8 Pour les actions obligatoires nos recommandations utilisent la terminologie adapteacutee

pour indiquer une obligation laquovous devezraquo laquofaites celaraquo laquoil faut que vousraquo ou

drsquoautres tournures impeacuteratives

9 De mecircme les actions recommandeacutees comme des bonnes pratiques mais qui ne sont

pas obligatoires emploient les formulations laquovous devriezraquo laquoil convient que vousraquo

etc

10 Les formulations laquoIl se peutraquo laquopourraitraquo et autres formulations similaires font

reacutefeacuterence agrave des actions qui sont volontaires ou agrave des maniegraveres tout aussi valables

drsquoatteindre le mecircme objectif

11 Pour des raisons pratiques les institutions organes bureaux et agences de lrsquoUnion

sont deacutesigneacutes par les termes laquoinstitutionraquo laquovotre institutionraquo ou laquovotre agenceraquo dans

les preacutesentes lignes directrices mais srsquoappliquent de la mecircme maniegravere agrave tous

12 Champ drsquoapplication

12 Conformeacutement au champ drsquoapplication du regraveglement les preacutesentes lignes directrices

srsquoappliquent au traitement des donneacutees par les institutions europeacuteennes Dans la

plupart des cas les utilisateurs concerneacutes seront les membres du personnel (ce terme

srsquoentend au sens large et inclut par exemple les experts nationaux deacutetacheacutes les

stagiaires et les contractants sur place) mais il peut eacutegalement srsquoagir de personnes

exteacuterieures aux institutions (par exemple laquoaccegraves inviteacuteraquo agrave lrsquointernet) Si les regravegles

speacutecifiques en vigueur pour les diffeacuterentes cateacutegories de personnes peuvent varier (par

exemple pour les enquecirctes administratives aupregraves des personnes relevant ou non du

statut) les principes sont les mecircmes Au final les lignes directrices srsquoappliquent lors

du traitement par les institutions europeacuteennes des donneacutees des communications

eacutelectroniques relatives agrave toutes les cateacutegories de personnes concerneacutees sans preacutejudice

drsquoune politique seacutepareacutee ou speacutecifique que les institutions europeacuteennes pourraient

appliquer agrave lrsquoeacutegard de leurs repreacutesentants politiques ou agrave haut niveau

13 Les cateacutegories suivantes de communications eacutelectroniques relegravevent des preacutesentes

lignes directrices

teacuteleacutephonie fixe et mobile

courrier eacutelectronique

internet

14 Les lignes directrices portent sur le traitement des donneacutees agrave caractegravere personnel

produites par les communications eacutelectroniques aux fins suivantes

Rx Les recommandations sont mises en eacutevidence dans des encadreacutes et srsquoaccompagnent

drsquoune explication apregraves chaque encadreacute

7 | P a g e

gestion de la facturation et du budget

seacutecuriteacute des systegravemes et gestion du trafic

gestion des incidents et deacutepannage

veacuterification de lrsquousage autoriseacute des systegravemes de communication eacutelectronique

enregistrement des lignes teacuteleacutephoniques speacuteciales (par exemple lignes

drsquourgence)

accegraves aux donneacutees des communications eacutelectroniques relatives agrave un travailleur

en son absence

enquecirctes administratives et proceacutedures disciplinaires (EAPD)

15 NE relegravevent PAS des preacutesentes lignes directrices

les systegravemes de gestion de lrsquoidentiteacute et des accegraves

le controcircle au moyen de la videacuteo-surveillance

les sessions agrave distance sur le reacuteseau de lrsquoorganisation

les systegravemes de surveillance des activiteacutes des utilisateurs (comme le controcircle

de la productiviteacute)

le stockage local (par exemple stockage de dossiers sur les disques locaux)

les communications entre utilisateurs et entre utilisateurs et serveur sur le

reacuteseau de lrsquoorganisation (par exemple messagerie instantaneacutee entre collegravegues

accegraves aux sites internet internes etc)

les sites internet institutionnels publics

le traitement des donneacutees agrave caractegravere personnel de tierces personnes

lorsqursquoelles utilisent leurs appareils mobiles

2 RECOMMANDATIONS RELATIVES AU TRAITEMENT DE DONNEacuteES Agrave

CARACTEgraveRE PERSONNEL POUR DES RAISONS SPEacuteCIFIQUES

16 La preacutesente section porte sur des preacuteoccupations speacutecifiques concernant le traitement

des donneacutees agrave caractegravere personnel dans le cadre de lrsquoutilisation des communications

eacutelectroniques et contient des recommandations pour reacutepondre agrave ces preacuteoccupations

Ces recommandations doivent ecirctre appliqueacutees en sus des recommandations geacuteneacuterales

formuleacutees dans la section 3 ci-dessous Les recommandations geacuteneacuterales sont toujours

applicables y compris lorsqursquoelles ne sont pas mentionneacutees speacutecifiquement

21 Seacutecuriteacute des systegravemes et gestion du trafic

17 Il se peut que les communications eacutelectroniques de votre institution exigent une

certaine surveillance destineacutee agrave assurer leur bon fonctionnement Il srsquoagit notamment

des opeacuterations de traitement dont le but est de

garantir la seacutecuriteacute et la stabiliteacute des systegravemes

deacutetecter et preacutevenir les attaques (internes et externes)

veiller au bon fonctionnement des systegravemes

mesurer lrsquoutilisation

8 | P a g e

18 Une certaine forme de surveillance de lrsquointernet peut eacutegalement se reacuteveacuteler neacutecessaire

pour garantir la fonctionnaliteacute (controcircle) et la seacutecuriteacute du reacuteseau

19 Vous devez limiter la surveillance de lrsquointernet agrave des fins de seacutecuriteacute et de gestion du

trafic agrave ce qui est pertinent et approprieacute au regard des finaliteacutes du traitement (voir les

points 95 et suivants concernant la qualiteacute des donneacutees) En pratique cette

recommandation suppose

lrsquoutilisation drsquoautres outils ou technologies moins intrusifs si possible (comme le

blocage des pages internet) et la limitation de la creacuteation de journaux en

conseacutequence

la limitation des informations agrave caractegravere personnel enregistreacutees dans les journaux

agrave celles qui sont absolument indispensables

la fixation drsquoune dureacutee de conservation limiteacutee pour les journaux

20 Par exemple les journaux drsquoaccegraves agrave lrsquointernet incluent geacuteneacuteralement les informations

suivantes (par utilisation et par tentative drsquoaccegraves agrave lrsquointernet)

une identification de lrsquoutilisateur et une adresse IP

le volume de donneacutees eacutechangeacutees avec lrsquointernet

la date et lrsquoheure drsquoaccegraves

21 De mecircme le stockage des donneacutees relatives au trafic de courrier eacutelectronique peut ecirctre

neacutecessaire pour les mecircmes finaliteacutes Les champs suivants sont le plus souvent inclus

par les institutions europeacuteennes et peuvent ecirctre des reacutefeacuterences utiles pour votre

organisation

De

Date

Identificateur du message

Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur

22 Dureacutees de conservation les donneacutees agrave caractegravere personnel ne doivent pas ecirctre

conserveacutees pendant une dureacutee exceacutedant celle qui est neacutecessaire aux finaliteacutes pour

lesquelles ces donneacutees ont eacuteteacute collecteacutees ou traiteacutees ulteacuterieurement (article 4

paragraphe 1 point d) du regraveglement) Lorsque vous avez deacutetermineacute la finaliteacute et le

type des donneacutees dont vous avez besoin vous devez en fixer la dureacutee de conservation

R1 Deacutefinissez le contenu des journaux de seacutecuriteacute et leur dureacutee de conservation en

fonction des besoins de votre institution en matiegravere de seacutecuriteacute

9 | P a g e

23 Le principe geacuteneacuteral de limitation de la finaliteacute (voir section 34 ci-dessous) restreint

les utilisations ulteacuterieures des donneacutees agrave caractegravere personnel qui sont incompatibles

avec la ou les finaliteacutes initiales Pour les journaux de seacutecuriteacute ce principe est

davantage renforceacute par lrsquoarticle 6 paragraphe 2 du regraveglement qui dispose que laquoles

donneacutees agrave caractegravere personnel collecteacutees exclusivement dans le but drsquoassurer la

seacutecuriteacute ou le controcircle des systegravemes ou des opeacuterations de traitement ne peuvent ecirctre

utiliseacutees pour aucune autre finaliteacute agrave lrsquoexception de la preacutevention la recherche la

deacutetection et la poursuite drsquoinfractions peacutenales gravesraquo Comme exemples

drsquoutilisations agrave des fins de laquoseacutecuriteacute et de controcircleraquo citons la gestion des incidents la

recherche de virus lrsquoanalyse des violations et lrsquoeacutetablissement de statistiques sur

lrsquoutilisation des ressources Lrsquoutilisation de ces journaux agrave des fins drsquoeacutevaluation du

personnel nrsquoest pas autoriseacutee

24 Le controcircle des messages eacutelectroniques agrave des fins drsquoeacutelimination des virus ou de tout

autre logiciel malveillant ainsi que des spams est un exemple de traitement agrave des fins

de laquoseacutecuriteacute et de controcircleraquo Il repose principalement sur le filtrage des donneacutees

relatives au trafic de courrier eacutelectronique (volume type de fichiers joints en-tecirctes des

courriels etc) mais le filtrage automatiseacute du contenu est eacutegalement possible en

particulier dans le cas des spams ou de la deacutetection drsquoun contenu preacutedeacutefini Si le

traitement est automatiseacute au moyen drsquooutils logiciels speacutecifiques lrsquointervention

manuelle peut ecirctre requise dans des cas particuliers justifieacutes par lrsquoadministrateur du

systegraveme

25 Lorsque les journaux drsquoaccegraves agrave lrsquointernet sont analyseacutes (automatiquement ou

manuellement) de maniegravere plus approfondie pour eacutetablir des statistiques et eacutevaluer

lrsquoutilisation de lrsquointernet par votre institution (par exemple par le responsable de la

seacutecuriteacute ou drsquoautres services administratifs) les donneacutees doivent ecirctre anonymiseacutees Si

lrsquoeacutetablissement de ces statistiques peut impliquer le traitement de donneacutees agrave caractegravere

personnel les reacutesultats doivent ecirctre anonymes

R2 Les donneacutees collecteacutees agrave des fins de controcircle de la seacutecuriteacute ne doivent ecirctre utiliseacutees

qursquoagrave cet effet

Example 1 Filtrage des spams

Votre institution filtre les courriels entrants pour eacuteviter les spams Le personnel srsquoest toutefois

plaint que le systegraveme ne deacutetectait pas certains messages non solliciteacutes (faux neacutegatifs) tout en

bloquant certains messages leacutegitimes (faux positifs)

Afin drsquoaffiner le systegraveme un administrateur du systegraveme doit examiner le contenu des messages

signaleacutes par les membres du personnel Dans ce cas une intervention manuelle peut ecirctre

justifieacutee alors qursquoau cours des opeacuterations normales les administrateurs ne devraient pas

regarder le contenu des messages mais se fier au filtrage automatique


10 | P a g e

22 Gestion de la facturation et du budget

26 Il peut arriver que votre institution doive traiter des donneacutees agrave caractegravere personnel aux

fins de la gestion de la facturation et du budget des services de communication

eacutelectronique comme les factures deacutetailleacutees des appels teacuteleacutephoniques

27 Les donneacutees qui sont traiteacutees pour assurer la surveillance de la facturation et des

factures doivent se limiter agrave ce qui est neacutecessaire (conformeacutement au principe de

qualiteacute voir les points 95 et suivants) Les donneacutees ci-apregraves sont geacuteneacuteralement jugeacutees

suffisantes pour assurer la surveillance des appels sur ligne fixe et teacuteleacutephone mobile

nom associeacute agrave lrsquoextension teacuteleacutephonique

numeacutero de lrsquoextension teacuteleacutephonique

numeacuteros appeleacutes (les trois derniers chiffres doivent ecirctre supprimeacutes pour garantir le

respect de la vie priveacutee si le fournisseur offre cette possibiliteacute)

date heure et dureacutee de chaque appel

montants factureacutes

volume de donneacutees eacutechangeacute (pour lrsquoaccegraves agrave lrsquointernet mobile)

28 En revanche lrsquoidentiteacute de la personne appeleacutee les appels teacuteleacutephoniques

infructueux les appels manqueacutes les appels reccedilus et les sites internet speacutecifiques

visiteacutes ne doivent pas ecirctre enregistreacutes agrave des fins de facturation Ce qui preacutecegravede

nrsquoaffecte en rien le besoin eacuteventuel de tenir un registre des appels manqueacutes etou

passeacutes au niveau local sur lrsquoappareil lui-mecircme

29 Les informations requises pour la gestion de la facturation et du budget proviennent

geacuteneacuteralement du fournisseur de communications eacutelectroniques en mecircme temps que

les factures (pour la teacuteleacutephonie) ou sont eacutetablies par lrsquoinfrastructure informatique de

votre institution (pour les donneacutees relatives au trafic internet et de courrier

eacutelectronique) Il appartient agrave votre institution de demander au prestataire de limiter

autant que possible les cateacutegories de donneacutees incluses dans les factures

correspondantes

30 Tous les champs indiqueacutes au point 21 ci-dessus ne sont pas pertinents pour la gestion

de la facturation et du budget Par exemple les donneacutees relatives au trafic de courrier

eacutelectronique sont probablement sans inteacuterecirct pour la facturation tandis que le volume

de donneacutees eacutechangeacute par lrsquointernet peut ecirctre utile lorsque lrsquoaccegraves est factureacute sur la base

du volume sur les smartphones Seuls les champs indispensables agrave la gestion de la

facturation et du budget doivent ecirctre stockeacutes et utiliseacutes

R4 Demandez aux prestataires externes de reacuteduire au maximum la quantiteacute de

donneacutees agrave caractegravere personnel fournies aux institutions agrave des fins de facturation le

cas eacutecheacuteant


11 | P a g e

31 La dureacutee pendant laquelle vous envisagez de stocker les registres des appels

teacuteleacutephoniques ou autres journaux (la dureacutee de conservation) agrave des fins de gestion du

budget et de la facturation ne peut deacutepasser le deacutelai preacutevu pour contester les factures

de services de communication (voir article 37 du regraveglement) Les deacutelais de

contestation des factures peuvent varier en fonction des contrats que votre

organisation a conclus avec les prestataires de services de communication et les

dureacutees de conservation doivent ecirctre fixeacutees en conseacutequence (voir eacutegalement la

recommandation R15)

32 Si vous devez conserver certaines donneacutees plus longtemps par exemple en vertu de

regravegles financiegraveres ou agrave des fins drsquoaudit lrsquoaccegraves doit en ecirctre limiteacute aux personnes (ou

rocircles) directement impliqueacutees dans ces activiteacutes

33 Le raisonnement exposeacute aux deux points preacuteceacutedents srsquoapplique eacutegalement si votre

institution permet aux membres de son personnel drsquoutiliser les eacutequipements de

communication agrave des fins priveacutees et leur facture cet usage

34 Les diffeacuterentes institutions peuvent utiliser des meacutethodes diffeacuterentes pour distinguer

les activiteacutes priveacutees et professionnelles par exemple

le recensement et la facturation a posteriori des activiteacutes personnelles une

institution peut par exemple fixer pour ladite institution un certain volume de

donneacutees autoriseacute (sur la base de son utilisation moyenne par le passeacute) sur les

smartphones fournis aux membres du personnel et facturer aux utilisateurs le

volume de donneacutees deacutepassant la quantiteacute offerte pour les appels le personnel peut

ecirctre inviteacute agrave indiquer les appels priveacutes qui doivent ecirctre rembourseacutes agrave lrsquoinstitution

la demande preacutealable au standard teacuteleacutephonique pour les appels priveacutes

la demande preacutealable au standard teacuteleacutephonique pour certaines cateacutegories drsquoappels

(comme les appels internationaux ou les appels vers les teacuteleacutephones mobiles) et

deacuteclarer si lrsquoappel est agrave caractegravere professionnel ou priveacute

lrsquoutilisation drsquoun code pin personnel pour les appels priveacutes

23 Usage autoriseacute des services de communication eacutelectronique

35 Votre institution peut adopter des regravegles ou une politique sur lrsquousage autoriseacute des

moyens de communication eacutelectronique sur le lieu de travail Cette politique peut

Example 2 Remboursement des frais pour les appels teacuteleacutephoniques priveacutes

Votre institution autorise lrsquousage des teacuteleacutephones de bureau pour les appels priveacutes agrave condition

qursquoils soient deacuteclareacutes par lrsquoutilisation drsquoun code personnel avant de composer le numeacutero Agrave

la fin de chaque mois les membres du personnel reccediloivent une liste de leurs appels deacuteclareacutes

(sans les trois derniers chiffres du numeacutero appeleacute) et sont inviteacutes agrave rembourser les frais

occasionneacutes par ces appels au cours du mois eacutecouleacute Ces releveacutes sont conserveacutes pendant six

semaines sauf si un diffeacuterend survient au sujet du remboursement auquel cas ils sont

conserveacutes jusqursquoagrave la reacutesolution du diffeacuterend Les membres du personnel sont informeacutes de ces

regravegles (qui sont eacutenonceacutees dans une politique) lors de leur entreacutee en service aupregraves de

lrsquoinstitution

12 | P a g e

couvrir des thegravemes tels que lrsquoaccegraves agrave lrsquointernet et lrsquoutilisation des teacuteleacutephones de bureau

agrave des fins priveacutees la surveillance de lrsquoaccegraves agrave lrsquointernet et les sites interdits

231 Transparence et proceacutedures

36 Le personnel doit ecirctre informeacute du fait que votre institution autorise ou non lrsquoutilisation

priveacutee des services de communication eacutelectronique qursquoelle fournit Ces informations

doivent au minimum ecirctre communiqueacutees au moyen de votre politique sur lrsquousage

autoriseacute (voir eacutegalement les sections 35 et 37 ci-dessous sur lrsquoinformation et la

documentation)

37 La surveillance de lrsquousage autoriseacute doit ecirctre justifieacutee et suivre une approche

progressive En lrsquoabsence drsquoactiviteacute suspecte aucun controcircle des personnes ne devrait

ecirctre effectueacute Conformeacutement agrave cette approche les communications eacutelectroniques

doivent drsquoabord faire lrsquoobjet drsquoun controcircle sur la base drsquoun agreacutegat anonyme Srsquoil

srsquoavegravere neacutecessaire pour votre organisation de surveiller certains profils lrsquoidentiteacute de

chaque utilisateur doit drsquoabord ecirctre masqueacutee et ne doit ecirctre accessible qursquoen cas de

neacutecessiteacute

38 Si des situations ou profils anormaux sont constateacutes (en termes de volume de taille ou

drsquoautres indicateurs drsquoactiviteacute) votre institution peut progressivement augmenter la

surveillance Par exemple un avertissement peut drsquoabord ecirctre envoyeacute au(x)

deacutepartement(s) concerneacute(s) indiquant qursquoun usage inadeacutequat des moyens de

communication eacutelectronique a eacuteteacute constateacute et qursquoil doit y ecirctre mis un terme Si

lrsquoutilisation inadeacutequate cesse agrave la suite de cet avertissement il ne sera pas neacutecessaire

drsquoeffectuer une surveillance des personnes Si elle se poursuit la surveillance peut ecirctre

intensifieacutee

39 Il nrsquoy a lieu de proceacuteder agrave lrsquoidentification de lrsquoutilisateur que lorsqursquoil existe un

soupccedilon concret de faute (comme lrsquousage inadeacutequat des moyens de communication

eacutelectronique) et dans le cadre drsquoune proceacutedure deacutefinie ou drsquoune enquecircte administrative

(voir exemple 3) Le soupccedilon ne doit pas ecirctre geacuteneacuteral mais raisonnable speacutecifique et

eacutetayeacute par de premiegraveres preuves concregravetes Votre deacuteleacutegueacute agrave la protection des donneacutees

doit ecirctre informeacute de toute situation ougrave votre institution agrave lrsquointention de proceacuteder agrave une

surveillance individuelle Dans ces cas la ou les personnes concerneacutees doivent en ecirctre

informeacutees degraves que possible sauf si lrsquoune des exceptions preacutevues agrave lrsquoarticle 20 du

regraveglement srsquoapplique (voir la section 26 ci-dessous sur les enquecirctes administratives)

40 La deacutecision de proceacuteder agrave une surveillance individuelle est importante et partant les

preuves agrave la base des soupccedilons de faute la neacutecessiteacute drsquoune surveillance individuelle

les limites de lrsquoenquecircte et la proportionnaliteacute des moyens utiliseacutes doivent ecirctre eacutevalueacutees

et documenteacutees La deacutecision de surveiller un membre du personnel doit ecirctre prise par

lrsquoautoriteacute compeacutetente chargeacutee de la proceacutedure ou de lrsquoenquecircte au niveau administratif

R6Adoptez une approche progressive en ce qui concerne la surveillance de lrsquousage


13 | P a g e

adeacutequat conformeacutement agrave une politique eacutecrite et publique de votre institution sur

lrsquoutilisation des moyens de communication eacutelectronique

41 Votre institution doit pouvoir suivre toutes les eacutetapes menant agrave une opeacuteration de

surveillance et il y a lieu de conserver une piste drsquoaudit de tous les processus y

affeacuterents Si le CEPD (ou tout autre organe) remet en cause la neacutecessiteacute de la

surveillance il recherchera au cours de lrsquoenquecircte des pistes drsquoaudit claires et des

eacutevaluations documenteacutees des mesures agrave mettre en place (voir eacutegalement la section sur

lrsquoobligation de rendre des comptes au point 31 ci-dessous)

232 Accegraves agrave lrsquointernet

42 Il est possible que votre institution souhaite eacutetablir des listes de sites internet interdits

ou drsquoadresses auxquelles lrsquoaccegraves est bloqueacute tels que les sites dont on sait ou dont on

soupccedilonne qursquoils diffusent des logiciels malveillants De mecircme elle peut souhaiter

bloquer lrsquoaccegraves agrave certains sites internet deacutepourvus drsquointeacuterecirct professionnel leacutegitime

comme les jeux en ligne ou la pornographie Lorsqursquoils tentent drsquoacceacuteder agrave ces sites

les utilisateurs doivent ecirctre informeacutes du fait que le site est bloqueacute et de la raison du

blocage (agrave savoir la cateacutegorie agrave laquelle le site appartient il nrsquoest pas neacutecessaire de

publier en interne la liste des sites bloqueacutes de maniegravere proactive)

43 En principe les adresses sources des personnes qui tentent drsquoacceacuteder aux sites bloqueacutes

ne doivent pas ecirctre enregistreacutees en revanche les adresses cibles (des sites interdits)

peuvent ecirctre enregistreacutees En regravegle geacuteneacuterale les adresses sources ne devraient pas ecirctre

enregistreacutees aux fins de veacuterification de lrsquousage autoriseacute sauf srsquoil existe des preuves

concregravetes de problegravemes de seacutecuriteacute comme une hausse soudaine des tentatives de

connexion agrave un site bloqueacute Cette approche est conforme au principe de qualiteacute des

donneacutees (voir point 95)

233 Utilisation du teacuteleacutephone

44 Il se peut que votre institution souhaite surveiller lrsquousage autoriseacute des teacuteleacutephones

mobiles ou de bureau afin de veacuterifier si lrsquousage personnel est excessif ou si le

personnel omet frauduleusement de deacuteclarer les appels personnels

45 Il existe plusieurs maniegraveres valables de deacuteclarer un usage priveacute Les deacuteclarations a

posteriori des appels priveacutes ou lrsquointroduction drsquoun code pour les appels priveacutes sont des

exemples pour les teacuteleacutephones de bureau (voir le point 34 ci-dessus)

46 La surveillance par votre organisation des irreacutegulariteacutes suspecteacutees dans la deacuteclaration

des appels priveacutes doit se fonder sur des critegraveres objectifs En principe lrsquoinstitution ne

devrait pas proceacuteder agrave des controcircles geacuteneacuteraux systeacutematiques ou aleacuteatoires des

factures La veacuterification doit se limiter aux factures deacutepassant une limite preacutedeacutefinie

qui en comparaison avec la consommation moyenne par travailleur et les tacircches

speacutecifiques reacutealiseacutees peut ecirctre consideacutereacutee comme excessive Cette limite doit ecirctre

fixeacutee et clairement indiqueacutee dans la politique de lrsquoinstitution concerneacutee

14 | P a g e

47 Si le plafond a eacuteteacute deacutepasseacute le membre du personnel devrait avoir la possibiliteacute de

fournir une explication avant qursquoune quelconque mesure ne soit prise Agrave ce stade

lrsquoencadrement ne devrait pas encore avoir accegraves agrave la facture deacutetailleacutee Si les

explications ne sont pas convaincantes et qursquoil subsiste un soupccedilon raisonnable

drsquousage non autoriseacute une enquecircte administrative peut ecirctre ouverte

48 Dans ce cas le travailleur doit immeacutediatement ecirctre informeacute de lrsquoouverture de

lrsquoenquecircte administrative sauf si une exception preacutevue agrave lrsquoarticle 20 du regraveglement

srsquoapplique (voir eacutegalement le point 113 ci-dessous) Au cours de la phase de

veacuterification le travailleur peut ecirctre inviteacute agrave justifier des appels priveacutes speacutecifiques

figurant sur la facture et qui sont une source de preacuteoccupation

24 Enregistrement de lignes teacuteleacutephoniques speacuteciales

49 Il est possible que votre institution souhaite enregistrer les appels entrants vers

certains numeacuteros de teacuteleacutephone comme les numeacuteros drsquoassistance teacuteleacutephonique

drsquourgence ou de deacutenonciation Les enregistrements peuvent ecirctre neacutecessaires pour une

ou plusieurs finaliteacutes speacutecifiques par exemple pour veacuterifier le contenu drsquoun message

afin que le personnel du numeacutero drsquoassistance teacuteleacutephonique puisse reacutepondre de maniegravere

adeacutequate ou pour servir de support de formation

50 Conformeacutement au principe de proportionnaliteacute les institutions europeacuteennes ne

doivent pas faire enregistrer tous les appels entrants et sortants passant par le standard

teacuteleacutephonique ou par celui des deacutepartements Ce nrsquoest que dans des circonstances

Example 4 Enregistrement des lignes teacuteleacutephoniques drsquourgence

Votre institution dispose drsquoune ligne drsquoassistance teacuteleacutephonique drsquourgence speacuteciale Les appels

vers cette ligne sont enregistreacutes Le membre du personnel chargeacute drsquoun appel peut reacuteeacutecouter le

message et le stocker comme preuve drsquoactiviteacutes opeacuterationnelles Cette opeacuteration peut ecirctre

neacutecessaire pour preacuteciser le contenu du message fournir des preuves lors drsquoactions judiciaires

ou administratives ulteacuterieures ou soutenir la formation du personnel Les proceacutedures sont

deacutefinies dans un document approuveacute par votre directeur des affiches sont diffuseacutees au sein de

lrsquoinstitution pour indiquer au personnel qursquoil existe une ligne drsquoassistance teacuteleacutephonique et que

les appels seront enregistreacutes

Example 3 Politique relative agrave lrsquousage priveacute des teacuteleacutephones mobiles professionnels

Votre institution fournit agrave certains membres du personnel un teacuteleacutephone mobile agrave usage

professionnel qui peut eacutegalement ecirctre utiliseacute modeacutereacutement pour des appels priveacutes

La politique communiqueacutee aux membres du personnel qui demandent un teacuteleacutephone

professionnel preacutecise qursquoun usage personnel limiteacute est autoriseacute et qursquoune attention

particuliegravere doit ecirctre accordeacutee agrave lrsquoitineacuterance La politique preacutecise eacutegalement le plafond

applicable agrave une facture mensuelle moyenne si ce plafond est deacutepasseacute lrsquoutilisateur en sera

immeacutediatement informeacute par un sms (envoyeacute par le systegraveme) et sera inviteacute agrave deacuteclarer les appels

priveacutes et agrave rembourser ceux qui deacutepassent le plafond Si le plafond est deacutepasseacute trois mois de

suite le supeacuterieur hieacuterarchique du membre du personnel peut en ecirctre informeacute

15 | P a g e

exceptionnelles que lrsquoenregistrement geacuteneacuteral des appels reccedilus par un service entier

(plutocirct qursquoune ligne teacuteleacutephonique speacutecifique) peut ecirctre consideacutereacute comme neacutecessaire

En tout eacutetat de cause votre institution doit ecirctre en mesure de montrer pourquoi

lrsquoenregistrement de ces appels est neacutecessaire pour remplir sa mission (y compris les

opeacuterations) Pour de plus amples informations voir les dossiers 2005-0376 et 2006-

0102 du CEPD disponibles sur notre site internet

51 En lrsquoabsence de base juridique speacutecifique les modaliteacutes de lrsquoenregistrement (les

lignes teacuteleacutephoniques concerneacutees les dureacutees de conservation les finaliteacutes pour

lesquelles les enregistrements peuvent faire lrsquoobjet drsquoune utilisation ulteacuterieure etc)

doivent ecirctre eacutenonceacutees dans des dispositions administratives adopteacutees au niveau

adeacutequat

52 Il nrsquoest toutefois pas suffisant en soi drsquoindiquer que lrsquoenregistrement est neacutecessaire agrave

lrsquoexeacutecution des missions de votre organisation etou agrave sa gestion et agrave son

fonctionnement (article 5 point a) et consideacuterant 27 du regraveglement (CE) ndeg 452001)

pour justifier lrsquoenregistrement des appels Des documents drsquoinformation

compleacutementaire doivent ecirctre fournis Cette documentation doit indiquer les raisons

pour lesquelles lrsquoenregistrement de ces lignes speacutecifiques est neacutecessaire parmi les

raisons possibles figurent le caractegravere sensible du service fourni sa nature hautement

technique la volatiliteacute des informations eacutechangeacutees le besoin eacuteventuel drsquoy acceacuteder agrave

lrsquoavenir et une probabiliteacute eacuteleveacutee de litige

53 Si lrsquoenregistrement nrsquoest pas continu mais qursquoil srsquoeffectue dans des circonstances

particuliegraveres par exemple lorsqursquoune alerte de seacutecuriteacute est signaleacutee en outre la

documentation doit eacutegalement preacuteciser la proceacutedure agrave suivre pour deacutecider quand

lrsquoenregistrement doit ecirctre activeacute

54 Les appelants doivent ecirctre informeacutes au preacutealable que leur appel serapourrait ecirctre

enregistreacute Pour ce faire la meilleure maniegravere consiste agrave diffuser un message audio

preacuteenregistreacute avant qursquoun opeacuterateur prenne lrsquoappel (en ce qui concerne les lignes pour

lesquelles la rapiditeacute de prise en charge est primordiale comme les lignes drsquourgence

drsquoautres maniegraveres peuvent ecirctre envisageacutees) Cet avis doit eacutegalement ecirctre mis en

eacutevidence en plus du numeacutero de teacuteleacutephone dans tout reacutepertoire teacuteleacutephonique par

exemple sur le site internet de votre institution De mecircme le personnel travaillant sur

les lignes enregistreacutees doit en ecirctre informeacute eacutegalement Il suffit par exemple de placer

une deacuteclaration de confidentialiteacute pregraves du teacuteleacutephone etou dans les instructions que le

personnel reccediloit lors de son entreacutee en service



R8 Informez les appelants et le personnel de lrsquoenregistrement (possible) de leurs

appels teacuteleacutephoniques avant que celui-ci nrsquoait lieu

16 | P a g e

55 Un message vocal ou un message sur un reacutepondeur peuvent ecirctre consideacutereacutes comme un

consentement au suivi du message deacuteposeacute Cependant il ne srsquoagit pas drsquoun

consentement agrave lrsquoextension du traitement au-delagrave de cela

56 Les lignes de deacutenonciation des dysfonctionnements sont lrsquoune des cateacutegories les plus

sensibles des lignes teacuteleacutephoniques enregistreacutees Eacutetant donneacute que les appels concernent

des alleacutegations drsquoactes criminels ou drsquoautres fautes graves ces lignes doivent ecirctre

creacuteeacutees avec prudence lorsqursquoil existe suffisamment drsquoeacuteleacutements attestant leur

neacutecessiteacute Pour de plus amples informations voir lrsquoavis 012006 du groupe de travail

laquoarticle 29raquo et les lignes directrices agrave venir du CEPD sur la deacutenonciation des

dysfonctionnements

25 Accegraves aux courriels en lrsquoabsence du travailleur

57 Il est possible que votre institution souhaite acceacuteder au contenu des boicirctes aux lettres

eacutelectroniques des travailleurs en leur absence pour assurer la continuiteacute des activiteacutes

Il pourrait par exemple srsquoagir de travailleurs en congeacute de longue dureacutee ayant quitteacute

lrsquoinstitution ou deacuteceacutedeacutes

58 Eacutetant donneacute qursquoun usage priveacute limiteacute est geacuteneacuteralement autoriseacute un tel accegraves

eacuteventuellement justifieacute constitue une ingeacuterence dans leur droit au respect de la vie

priveacutee

59 Afin de reacuteduire au minimum le besoin drsquoacceacuteder aux boicirctes aux lettres eacutelectroniques

personnelles en lrsquoabsence des travailleurs il faut veiller agrave ce que les courriers

eacutelectroniques concerneacutes soient eacutegalement accessibles ailleurs Par exemple

a demander aux travailleurs drsquoenregistrer tous les courriers eacutelectroniques

concerneacutes dans des dossiers eacutelectroniques tels que des systegravemes de gestion des

documents ou des dossiers ou drsquoarchiver la correspondance dans des dossiers

papier

b mettre en place des boicirctes aux lettres eacutelectroniques fonctionnelles pour

certains servicesuniteacutessecteurs accessibles agrave tous les travailleurs concerneacutes

Les destinataires pourraient ensuite ecirctre inviteacutes agrave copier toute la

correspondance lieacutee aux activiteacutes dans ces boicirctes aux lettres eacutelectroniques

c demander aux travailleurs quittant lrsquoinstitution de fournir des notes de

transmission complegravetes

60 Ces mesures peuvent contribuer agrave reacuteduire la neacutecessiteacute drsquoacceacuteder aux boicirctes aux lettres

eacutelectroniques personnelles Il est toutefois possible que lrsquoaccegraves agrave une boicircte aux lettres

eacutelectronique personnelle reste neacutecessaire



17 | P a g e

61 Le processus drsquoaccegraves aux boicirctes aux lettres eacutelectroniques des membres du personnel

en leur absence devrait ecirctre eacutenonceacute dans une politique Cette politique peut srsquoinscrire

dans le cadre de regravegles plus geacuteneacuterales de votre organisation et peut eacutegalement couvrir

lrsquoaccegraves aux dossiers papier

62 Les membres du personnel doivent ecirctre informeacutes de cette politique de maniegravere

geacuteneacuterale comme lors de leur entreacutee en service aupregraves de votre institution

eacuteventuellement par lrsquointermeacutediaire de la politique drsquoutilisation de la messagerie

eacutelectronique et dans des cas speacutecifiques lorsque votre institution envisage drsquoacceacuteder

agrave leurs comptes de messagerie eacutelectronique Lrsquoutilisateur devrait recevoir des

explications deacutetailleacutees sur cet accegraves indiquant la neacutecessiteacute lrsquourgence la nature et

lrsquoeacutetendue des informations rechercheacutees Outre les informations agrave fournir au membre

du personnel en vertu de lrsquoarticle 12 (voir le point 108) les utilisateurs doivent

eacutegalement ecirctre informeacutes de leur droit drsquoopposition au titre de lrsquoarticle 18 du

regraveglement

63 Lorsqursquoil est impossible drsquoentrer en contact avec la ou les personnes concerneacutees ou

que cela requiert un effort disproportionneacute cette ou ces personnes ne doivent pas ecirctre

informeacutees (article 12 paragraphe 2)

64 Si en deacutepit des mesures de preacutevention proposeacutees au point 59 lrsquoaccegraves reste neacutecessaire

votre institution peut acceacuteder agrave la boicircte aux lettres eacutelectronique conformeacutement agrave la

politique en vigueur en son sein

65 Toutefois lrsquoaccegraves aux courriers eacutelectroniques ne peut srsquoeffectuer que sous certaines

conditions et moyennant certaines garanties La politique de votre institution en

matiegravere de messagerie eacutelectronique doit eacutetablir des regravegles claires qui permettent agrave

lrsquoinstitution drsquoacceacuteder aux courriers eacutelectroniques dans de tels cas Lrsquoaccegraves doit ecirctre

progressif par exemple il convient drsquoeffectuer une recherche par mots cleacutes et dans les

en-tecirctes avant drsquoacceacuteder au contenu des messages en informant le deacuteleacutegueacute agrave la

protection des donneacutees et en conservant des journaux pour pouvoir veacuterifier la liceacuteiteacute

de lrsquoaccegraves

R10 Adoptez une politique si lrsquoaccegraves aux boicirctes aux lettres eacutelectroniques des membres

du personnel est requis en leur absence

18 | P a g e

66 Le consentement ne constitue pas un motif approprieacute de liceacuteiteacute pour acceacuteder aux

boicirctes aux lettres eacutelectroniques dans la situation susmentionneacutee Le motif drsquoaccegraves agrave un

compte de messagerie est la continuiteacute des activiteacutes et le fait que cet accegraves a eacuteteacute jugeacute

neacutecessaire et proportionneacute Voir lrsquoavis 152001 du groupe de travail laquoarticle 29raquo

p 13 et lrsquoavis 082001 du groupe laquoarticle 29raquo p 3 pour de plus amples informations

67 Une autre situation ougrave lrsquoaccegraves peut ecirctre neacutecessaire est celle dans laquelle on donne

accegraves aux membres de la famille de travailleurs gravement malades lorsque cet accegraves

est requis pour garantir la protection des inteacuterecircts vitaux du membre du personnel en

question lrsquoaccegraves neacutecessaire doit ecirctre accordeacute sous reacuteserve des garanties approprieacutees

26 Enquecirctes administratives et proceacutedures disciplinaires

261 Accegraves aux donneacutees des communications eacutelectroniques

68 Les donneacutees des communications eacutelectroniques peuvent constituer des eacuteleacutements de

preuve utiles dans les enquecirctes administratives et proceacutedures disciplinaires par

exemple des courriers eacutelectroniques montrant des violations de la confidentialiteacute des

journaux drsquoaccegraves agrave lrsquointernet suggeacuterant des manquements aux obligations etc

69 La preacutesente section porte sur les enquecirctes internes au sein des institutions europeacuteennes

dans le cadre du statut la situation peut ecirctre diffeacuterente pour drsquoautres activiteacutes

drsquoenquecircte fondeacutees sur diffeacuterentes parties du droit de lrsquoUnion tels que les enquecirctes

meneacutees par la DG Concurrence de la Commission europeacuteenne

70 Les implications au sens large des enquecirctes administratives et proceacutedures

disciplinaires du point de vue de la protection des donneacutees sont examineacutees dans les

orientations du CEPD du 23 avril 2010 relatives au traitement des donneacutees agrave caractegravere

personnel lors drsquoenquecirctes administratives et de proceacutedures disciplinaires

71 Dans le cadre de la preacutesente section le responsable du traitement est lrsquoentiteacute chargeacutee

de lrsquoenquecircte (lrsquoIDOC pour la Commission europeacuteenne) et non le responsable du

Example 5 Acceacuteder agrave une boicircte aux lettres eacutelectronique apregraves le deacutepart drsquoun membre du

personnel de lrsquoorganisation

Selon les regravegles de votre institution les membres du personnel sont tenus de stocker toute la

correspondance pertinente dans un systegraveme de gestion des documents Il srsquoagit notamment des

courriers eacutelectroniques internes approuvant les documents eacutemanant des supeacuterieurs

hieacuterarchiques et destineacutes agrave ceux-ci et de toute autre information neacutecessaire aux futurs

gestionnaires de dossiers Cette mesure combineacutee aux notes de transmission rend peu probable

la neacutecessiteacute de devoir acceacuteder agrave la boicircte aux lettres eacutelectronique de lrsquoancien travailleur agrave des

fins de continuiteacute des activiteacutes

Si cela se reacuteveacutelait malgreacute tout neacutecessaire lrsquoancien membre du personnel en sera informeacute dans

la mesure du possible Afin drsquoeacuteviter lrsquoaccegraves au contenu priveacute les membres du personnel sont

inviteacutes agrave enregistrer la correspondance priveacutee dans un dossier nommeacute en conseacutequence afin

qursquoil puisse ecirctre facilement eacuteviteacute Conformeacutement aux regravegles de votre institution les boicirctes aux

lettres eacutelectroniques des anciens membres du personnel sont supprimeacutees dans les deux mois

suivant leur deacutepart

19 | P a g e

traitement chargeacute du systegraveme de communication eacutelectronique dont proviennent les

informations (par exemple DG DIGIT)

72 Lrsquoanalyse individuelle des communications eacutelectroniques ne devrait ecirctre effectueacutee que

lorsqursquoil existe des motifs raisonnables de suspecter des abus Les faits donnant lieu agrave

la suspicion ne doivent pas forceacutement ecirctre aussi concrets que ceux qui justifieraient

une condamnation ou une accusation Toutefois il convient qursquoune suspicion

raisonnable soit fondeacutee sur des faits ou des informations propres agrave persuader un

observateur objectif que lrsquoindividu en cause peut avoir accompli lrsquoinfraction (voir

CEDH Murray c Royaume-Uni (1431088) arrecirct du 28 octobre 1994 points 55-63)

73 Le moment auquel les enquecircteurs peuvent avoir accegraves aux donneacutees des

communications eacutelectroniques et les modaliteacutes de cet accegraves doivent ecirctre deacutefinis dans

les dispositions du regraveglement inteacuterieur de votre institution concernant les enquecirctes

administratives et les proceacutedures disciplinaires

74 Lrsquoaccegraves aux communications eacutelectroniques doit ecirctre neacutecessaire et proportionneacute au

regard de la finaliteacute de lrsquoenquecircte Lrsquoentiteacute (comme lrsquoIDOC) chargeacutee de mener

lrsquoenquecircte devrait proceacuteder agrave une eacutevaluation concregravete de la neacutecessiteacute et de la

proportionnaliteacute en deacutefinissant de maniegravere preacutecise lrsquoinfraction suspecteacutee et lrsquoeacutetendue

personnelle mateacuterielle et temporelle de la recherche agrave entreprendre Cette eacutevaluation

devrait ecirctre ducircment documenteacutee avant lrsquoouverture de lrsquoenquecircte pour permettre un

examen judiciaire ou administratif en cas de contestation

262 Surveillance discregravete

75 Dans certains cas il est possible que votre institution souhaite recourir agrave une

surveillance discregravete comme la tenue de journaux deacutetailleacutes de toutes les activiteacutes drsquoun

membre du personnel sans lrsquoen informer afin drsquoobtenir des eacuteleacutements de preuve de son

comportement deacutelictueux

76 Les proceacutedures de surveillance discregravete proposeacutees doivent srsquoaccompagner drsquoune

justification convaincante drsquoune analyse drsquoimpact et doivent faire lrsquoobjet drsquoun

controcircle preacutealable En effet ces proceacutedures impliquent le traitement de donneacutees agrave

caractegravere personnel relatives agrave des infractions supposeacutees et eacutevaluent la ou les

personnes soupccedilonneacutees et relegravevent par conseacutequent agrave la fois de lrsquoarticle 27

paragraphe 2 point a) et de lrsquoarticle 27 paragraphe 2 point b) du regraveglement Dans

son avis rendu dans le cadre du controcircle preacutealable le CEPD peut imposer au besoin

des garanties speacutecifiques en matiegravere de protection des donneacutees

R11 Veillez agrave ce que lrsquoaccegraves aux donneacutees des communications eacutelectroniques soit couvert

par les regravegles relatives aux enquecirctes administratives et proceacutedures disciplinaires

R12 Preacutevoyez des garanties adeacutequates lors de la planification drsquoune surveillance

discregravete

20 | P a g e

77 En principe le CEPD rendra un avis favorable dans le cadre du controcircle preacutealable si

toutes les conditions suivantes sont remplies

la surveillance discregravete srsquoimpose pour enquecircter sur une infraction peacutenale grave

dans le cadre drsquoune enquecircte judiciaire ou autoriseacutee par les autoriteacutes policiegraveres des

Eacutetats membres de lrsquoUnion drsquoautres agents des services reacutepressifs ou par les

organes de lrsquoUnion chargeacutes des enquecirctes

le recours agrave la surveillance discregravete respecte la loi et a eacuteteacute formellement autoriseacute

par i) un juge ou tout autre fonctionnaire habiliteacute agrave cet effet en vertu de la

leacutegislation de lrsquoEacutetat membre de lrsquoUnion qui a demandeacute le recours agrave la surveillance

discregravete au sein de votre institution ou par ii) lrsquoorgane de deacutecision supeacuterieur

compeacutetent (comme le comiteacute ou le conseil exeacutecutif) de votre institution

conformeacutement agrave la politique eacutecrite et publique de votre institution concernant le

recours agrave la surveillance discregravete

un registre est tenu contenant toutes ces autorisations et cas de surveillance

discregravete Ce registre doit ecirctre accessible sur demande pour examen par votre

deacuteleacutegueacute agrave la protection des donneacutees et le CEPD

la surveillance est cibleacutee en ce qui concerne son champ drsquoapplication mateacuteriel

personnel et temporel et agrave condition

a qursquoil nrsquoexiste pas drsquoautres solutions que le recours agrave la surveillance

discregravete pour enquecircter efficacement sur lrsquoaffaire et

b les avantages obtenus compensent la violation de la vie priveacutee des

personnes surveilleacutees

263 Copie-image du contenu des ordinateurs ou drsquoautres appareils

78 Lrsquoinvestigation informatique peut se deacutefinir comme le proceacutedeacute technique drsquoinspection

des systegravemes informatiques et de leur contenu en vue de la collecte de lrsquoanalyse et de

la preacutesentation devant les tribunaux de preuves eacutelectroniques qui sont solides sur le

plan leacutegal et dont la validiteacute et lrsquointeacutegriteacute sont dignes de confiance Les techniques

drsquoinvestigation informatique permettent eacutegalement drsquoextraire les informations

cacheacutees perdues endommageacutees ou supprimeacutees (accidentellement ou deacutelibeacutereacutement)

qui peuvent ecirctre utiles dans le cadre des enquecirctes

79 Dans la plupart des cas lrsquoinvestigation informatique interviendra au cours drsquoune

enquecircte meneacutee par des organismes tels que lrsquoOffice europeacuteen de lutte antifraude

(OLAF) ou par des autoriteacutes nationales dans le cadre drsquoenquecirctes peacutenales Par

conseacutequent pour la plupart des institutions la question de savoir srsquoil faut recourir agrave

une investigation informatique et comment la mener revecirct un caractegravere tregraves

hypotheacutetique Dans un souci drsquoexhaustiviteacute et eacutetant donneacute que certains aspects de

lrsquoinvestigation informatique sont lieacutes aux preacutesentes lignes directrices sur les

communications eacutelectroniques ces aspects sont examineacutes ci-apregraves

80 Eacutetant donneacute que lrsquoinvestigation informatique est une technique intrusive elle ne

devrait ecirctre utiliseacutee qursquoen dernier recours et si neacutecessaire Pour la mecircme raison il doit

21 | P a g e

exister une base juridique solide (traiteacutes de lrsquoUnion ou un acte juridique adopteacute sur

cette base) pour qursquoelle puisse ecirctre mise en œuvre

81 Dans certains cas les enquecircteurs peuvent avoir besoin de disposer drsquoune copie-image

inteacutegrale de lrsquoappareil cible (comme les teacuteleacutephones ordinateurs ordinateurs portables

et autres appareils mobiles etc) plutocirct que de courriers eacutelectroniques ou de

documents bien preacutecis Une copie-image peut ecirctre neacutecessaire pour conserver

lrsquointeacutegriteacute des eacuteleacutements de preuve collecteacutes En outre en fonction des circonstances

les enquecircteurs peuvent devoir effectuer des recherches et veacuterifications complexes sur

le mateacuteriel saisi ce qui ne peut se faire sur place Lrsquoexistence ou non de cette

neacutecessiteacute deacutepend en deacutefinitive des faits propres agrave chaque cas

82 Lrsquoacquisition de la totaliteacute du contenu drsquoun appareil cible est par essence une atteinte

agrave la vie priveacutee Par conseacutequent en tant qursquooutil drsquoenquecircte elle ne doit ecirctre utiliseacutee que

dans des circonstances exceptionnelles en cas drsquoabsolue neacutecessiteacute Les enquecircteurs ne

doivent pas drsquooffice avoir recours aux copies-images Des garanties speacutecifiques

devraient ecirctre mises en place pour proteacuteger les personnes concerneacutees contre le risque

drsquoabus En particulier outre les exigences geacuteneacuterales examineacutees dans la section 262

ci-dessus les conditions suivantes doivent ecirctre respecteacutees

lrsquoentiteacute chargeacutee de lrsquoenquecircte (OLAF par exemple) devrait proceacuteder agrave une

eacutevaluation de la neacutecessiteacute et de la proportionnaliteacute avant drsquoouvrir lrsquoenquecircte et

documenter cette eacutevaluation (similaire au point 74) En particulier elle doit ecirctre en

mesure de prouver que lrsquoimage est neacutecessaire crsquoest-agrave-dire qursquoune autre meacutethode

ne permettrait pas drsquoeacutetablir les faits ou serait consideacuterablement plus complexe

des images ou des copies drsquoordinateurs ne devraient ecirctre prises qursquoen cas de

soupccedilon aveacutereacute drsquoune infraction suffisamment grave confirmeacutee par des preuves

preacuteliminaires concregravetes

les copies-images ne devraient pas ecirctre acquises dans le cas drsquoinfractions

mineures lorsque la quantiteacute drsquoinformations agrave collecter est minime en cas de

demandes de faible importance ou dans drsquoautres cas ougrave les avantages potentiels de

lrsquoenquecircte ne compenseraient pas le risque drsquointrusion dans la vie priveacutee

le contenu de lrsquoappareil copieacute devrait ecirctre analyseacute de maniegravere cibleacutee Les

processus et les recherches automatiseacutes par exemple par mots cleacutes devraient ecirctre

utiliseacutes pour recenser les donneacutees pertinentes pour lrsquoenquecircte lesquelles seront

extraites et verseacutees au dossier drsquoenquecircte Toute action doit se traduire par une

piste drsquoaudit traccedilable

la personne concerneacutee devrait avoir la possibiliteacute agrave sa demande drsquoecirctre preacutesente

lorsque le contenu est copieacute [dans certains cas il peut ecirctre possible de recourir agrave

des restrictions en vertu de lrsquoarticle 20 afin de proteacuteger lrsquoenquecircte (voir points 113

et 114 ci-dessous)] ou drsquoexaminer les fichiers journaux des opeacuterations effectueacutees

sur les donneacutees Elle doit eacutegalement ecirctre informeacutee de son droit drsquoopposition

22 | P a g e

3 RECOMMANDATIONS GEacuteNEacuteRALES CONCERNANT LES INFORMATIONS Agrave

CARACTEgraveRE PERSONNEL ET LES COMMUNICATIONS EacuteLECTRONIQUES

31 Veillez agrave pouvoir rendre des comptes

83 Lrsquoobligation de rendre des comptes signifie que les organisations doivent respecter

leurs obligations en matiegravere de protection des donneacutees et ecirctre en mesure de deacutemontrer

qursquoelles le font

84 Cette notion nrsquoest pas propre aux donneacutees des communications eacutelectroniques mais

srsquoapplique agrave toutes les opeacuterations de traitement drsquoinformations agrave caractegravere personnel

85 Toute organisation qui collecte utilise et stocke (ce que lrsquoon appelle collectivement le

traitement) des donneacutees agrave caractegravere personnel est responsable du respect des regravegles en

matiegravere de protection des donneacutees et doit pouvoir rendre des comptes agrave cet eacutegard

86 Les institutions europeacuteennes traitent des informations agrave caractegravere personnel pour de

nombreuses raisons par exemple les activiteacutes de passation de marcheacutes et de

recrutement lrsquoeacutevaluation du personnel la collecte de donneacutees relatives agrave la santeacute dans

les dossiers meacutedicaux la mise en place de systegravemes de gestion du temps la

surveillance videacuteo en circuit fermeacute et lrsquoaccegraves des visiteurs aux bacirctiments de lrsquoUnion

Par conseacutequent les institutions europeacuteennes sont responsables du respect des regravegles

en matiegravere de protection des donneacutees eacutetablies dans le regraveglement et doivent pouvoir

rendre des comptes agrave cet eacutegard

87 Drsquoune maniegravere geacuteneacuterale les institutions doivent faire preuve de transparence et ecirctre

explicites quant agrave la maniegravere dont elles traitent les donneacutees agrave caractegravere personnel lieacutees

aux communications eacutelectroniques et agrave la surveillance des communications

eacutelectroniques Elles doivent documenter leurs politiques et veiller agrave ce que les

utilisateurs en aient connaissance Le droit au respect de la vie priveacutee existe sur le lieu

de travail eacutegalement et toute personne faisant lrsquoobjet drsquoune surveillance doit en ecirctre

informeacutee Les institutions ne peuvent pas partir du principe que le personnel est au

courant

88 Le meilleur moyen pour une institution de pouvoir rendre des comptes consiste agrave

examiner les implications des nouveaux processus du point de vue de la protection des

donneacutees degraves le stade de la conception (protection des donneacutees degraves la conception)

Les diffeacuterents traitements et les diffeacuterentes technologies exigent des garanties

diffeacuterentes Srsquoil est associeacute degraves le deacutebut du processus le deacuteleacutegueacute agrave la protection des

donneacutees pourra apporter des conseils et des orientations utiles

89 Les questions figurant ci-apregraves exposent les principaux points agrave prendre en

consideacuteration

a Deacuteterminer la finaliteacute Que voulez-vous faire et pourquoi

b Leacutegaliteacute Ecirctes-vous autoriseacute agrave le faire

23 | P a g e

c Limitation de la finaliteacute et seacutecuriteacute Comment ferez-vous pour que les

informations agrave caractegravere personnel soient utiliseacutees pour les seules finaliteacutes

preacutevues

d Droits de lrsquoindividu Comment informerez-vous les personnes concerneacutees et

comment garantirez-vous qursquoelles puissent exercer leurs droits (par exemple

deacuteclarations de confidentialiteacute information ad hoc accegraves et rectification

restrictions possibles)

e Documentation et notifications Comment documenterez-vous ce que vous

faites et comment tiendrez-vous cette documentation agrave jour

90 Les points suivants deacutecrivent les eacuteleacutements minimaux agrave prendre en consideacuteration pour

chacune de ces questions

32 Pourquoi avez-vous besoin de traiter les donneacutees des communications

eacutelectroniques et comment allez-vous proceacuteder

91 Avant de traiter des donneacutees agrave caractegravere personnel il vous faudra deacutefinir agrave la finaliteacute

pour laquelle vous avez besoin de traiter ces donneacutees Cette finaliteacute doit ecirctre

speacutecifique explicite et leacutegitime Cette analyse est fondeacutee sur les besoins

opeacuterationnels de votre organisation et doit ecirctre documenteacutee dans les politiques

concerneacutees (voir la section37 ci-dessous)

92 Deacutecrivez avec preacutecision la ou les finaliteacutes de sorte que les personnes concerneacutees

comprennent les raisons du traitement de leurs donneacutees Des explications claires et

concises sont neacutecessaires Des indications trop vagues (par exemple ameacuteliorer

lrsquoexpeacuterience de lrsquoutilisateur) ne sont pas suffisantes sans autre forme drsquoexplication

Pour de plus amples informations voir lrsquoavis 032013 du groupe de travail

laquoarticle 29raquo sur la limitation de la finaliteacute p 15-16

93 Une deacutefinition explicite de la ou des finaliteacutes garantit que toutes les personnes

concerneacutees par le traitement sont au fait de ce qursquoil adviendra (ou non) de leurs

donneacutees

94 Les fins leacutegitimes sont celles qui sont laquoconformes agrave la loiraquo Dans la pratique cela

implique de disposer drsquoune base juridique adeacutequate (voir la section 33 ci-dessous) et

de respecter les autres exigences en matiegravere de protection des donneacutees (telles que des

regravegles speacutecifiques pour des cateacutegories particuliegraveres de donneacutees) Pour de plus amples

informations voir lrsquoavis 032013 du groupe de travail laquoarticle 29raquo sur la limitation de

la finaliteacute p 19-20

95 Apregraves avoir deacutefini la finaliteacute du traitement et en avoir deacutemontreacute la leacutegaliteacute vous devez

vous inteacuteresser agrave la qualiteacute des donneacutees Le principe de limitation des donneacutees



R14 Ne collectez et traitez que les donneacutees neacutecessaires agrave la reacutealisation de la ou des

finaliteacutes indiqueacutees

24 | P a g e

signifie que vous ne devez traiter que les donneacutees dont vous avez besoin pour la ou les

finaliteacutes deacutetermineacutees Conformeacutement agrave lrsquoarticle 4 paragraphe 1 point c) du

regraveglement les donneacutees agrave caractegravere personnel doivent ecirctre laquoadeacutequates pertinentes et

non excessives au regard des finaliteacutes poursuiviesraquo

96 Cela signifie que vous devez deacutefinir quelles sont les informations requises pour

atteindre la ou les finaliteacutes souhaiteacutees Si des donneacutees ne sont pas neacutecessaires vous ne

devez pas les traiter Vous ne devez pas collecter ni conserver drsquoinformations agrave

caractegravere personnel uniquement parce qursquoelles pourraient ecirctre utiles par la suite

Lorsque ces informations sont conserveacutees pour des finaliteacutes diverses veillez agrave ce que

les intervenants nrsquoaient accegraves qursquoaux donneacutees neacutecessaires agrave leur rocircle dans les

opeacuterations de traitement Par exemple les membres drsquoun service drsquoassistance

informatique peuvent avoir besoin drsquoacceacuteder aux journaux de certains utilisateurs

pour reacutepondre aux demandes des utilisateurs mais ils nrsquoont pas besoin du mecircme accegraves

qursquoun auditeur ou un responsable de la seacutecuriteacute

97 Dureacutee de conservation Les organisations doivent souvent conserver des

informations agrave caractegravere personnel dans des dossiers pour certaines finaliteacutes

(ressources humaines questions juridiques etc) Lorsque vous avez deacutetermineacute la

finaliteacute et la qualiteacute des donneacutees dont vous avez besoin vous devez en fixer la dureacutee

de conservation Les dureacutees de conservation doivent ecirctre deacutefinies en fonction de

lrsquoadage laquoaussi longues que neacutecessaire aussi courtes que possibleraquo compte tenu de

la ou des finaliteacutes du traitement Conformeacutement agrave lrsquoarticle 4 paragraphe 1 point d)

du regraveglement les donneacutees agrave caractegravere personnel doivent ecirctre conserveacutees laquopendant une

dureacutee nrsquoexceacutedant pas celle neacutecessaire agrave la reacutealisation des finaliteacutes pour lesquelles elles

sont collecteacutees ou pour lesquelles elles sont traiteacutees ulteacuterieurementraquo

98 Lorsque les mecircmes dossiers sont conserveacutes pour des finaliteacutes diffeacuterentes des

restrictions en matiegravere drsquoaccegraves doivent ecirctre appliqueacutees en conseacutequence Par exemple

le personnel du service drsquoassistance informatique devra avoir accegraves aux fichiers

journaux reacutecents aux fins du deacutepannage tandis que les auditeurs pourraient avoir

besoin drsquoun accegraves aux fichiers journaux plus anciens lrsquoaccegraves aux dossiers aux fins de

la gestion drsquoun service et aux fins de lrsquoaudit drsquoun service doit ecirctre adapteacute en fonction

des besoins de chaque service

99 Lorsque seule une partie des donneacutees agrave caractegravere personnel doit ecirctre conserveacutee

pendant une peacuteriode plus longue vous devez supprimer les donneacutees qui ne sont pas

neacutecessaires (par exemple conserver certains journaux pendant une peacuteriode deacutetermineacutee

tout en conservant les donneacutees sur les comptes drsquoutilisateur aussi longtemps que ces

comptes sont actifs)



25 | P a g e

33 Est-ce leacutegal

100 Le traitement des donneacutees agrave caractegravere personnel doit ecirctre fondeacute sur un des motifs

preacutevus agrave lrsquoarticle 5 du regraveglement

101 La plupart des cas de traitement des donneacutees des communications eacutelectroniques seront

vraisemblablement fondeacutes sur des motifs drsquointeacuterecirct public (article 5 point a)) qui

comprend laquole traitement de donneacutees agrave caractegravere personnel neacutecessaires pour la gestion

et le fonctionnement de ces institutions et organesraquo (consideacuterant 27) La plupart des

bases juridiques pertinentes devraient figurer dans les dispositions du regraveglement

inteacuterieur de votre institution qui reacutegissent laquola gestion et le fonctionnementraquo tandis

que lrsquoarticle 37 du regraveglement contient des regravegles speacutecifiquement applicables aux

donneacutees relatives au trafic et agrave la facturation

102 Le consentement des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees

est un autre motif de liceacuteiteacute [article 5 point d)] Toutefois le consentement doit ecirctre

donneacute librement sans que le refus du consentement ne puisse entraicircner un preacutejudice

reacuteel ou potentiel Pour de plus amples informations voir lrsquoavis 152011 du groupe de

travail laquoarticle 29raquo sur le consentement

103 Dans le cadre drsquoune relation de travail du fait du rapport de force deacuteseacutequilibreacute entre

lrsquoemployeur et le travailleur il est peu probable que le consentement puisse constituer

une base juridique valable Par exemple si votre institution doit avoir accegraves agrave la boicircte

aux lettres eacutelectronique drsquoun travailleur en son absence le consentement du travailleur

ne constitue pas un motif approprieacute Cet accegraves serait plutocirct neacutecessaire pour assurer la

continuiteacute des activiteacutes dans lrsquointeacuterecirct public De mecircme les appels teacuteleacutephoniques vers

les lignes drsquourgence peuvent ecirctre enregistreacutes afin que les opeacuterateurs puissent

reacuteeacutecouter lrsquoappel lorsque la compreacutehension en temps reacuteel se reacutevegravele difficile de faccedilon agrave

deacutepecirccher lrsquoassistance neacutecessaire lrsquoappelant et la personne qui reccediloit lrsquoappel peuvent

ou non avoir consenti agrave lrsquoenregistrement

Example 6 Annuaire interne du personnel neacutecessiteacute contre consentement

Un annuaire institutionnel interne contenant par exemple le nom la fonction

lrsquoadresse eacutelectronique le numeacutero de teacuteleacutephone et le numeacutero de bureau peut ecirctre

laquoneacutecessaire pour la gestion et le fonctionnementraquo drsquoune institution (article 5 point a) +

consideacuterant 27 du regraveglement (E) En lrsquoabsence drsquoun tel annuaire il serait difficile pour

une organisation de fonctionner de maniegravere harmonieuse Cette neacutecessiteacute est une

justification suffisante pour creacuteer cet annuaire Si le consentement du personnel nrsquoest

pas requis il est neacutecessaire de lrsquoinformer (voir la section 35Error Reference source

not found ci-dessous

Les photos des membres du personnel ne sont pas une exigence indispensable agrave

lrsquoannuaire elles ne constituent pas un eacuteleacutement de lrsquoannuaire neacutecessaire agrave la poursuite

du fonctionnement de de lrsquoorganisation Dans ce cas le consentement est un motif

approprieacute vous ne pouvez pas obliger tous les membres du personnel agrave charger une

photo drsquoeux-mecircmes

26 | P a g e

34 Les donneacutees agrave caractegravere personnel ne doivent ecirctre utiliseacutees que pour la finaliteacute

preacutevue

104 La limitation de la finaliteacute est lrsquoun des grands principes de la protection des donneacutees

Ce principe est conccedilu pour proteacuteger les personnes en limitant lrsquoutilisation de leurs

donneacutees agrave caractegravere personnel agrave des finaliteacutes preacutedeacutefinies sauf dans des conditions

strictes et avec les garanties approprieacutees Pour de plus amples informations voir

lrsquoavis 032013 du groupe de travail laquoarticle 29raquo sur la limitation de la finaliteacute

105 Dans certains cas un changement de finaliteacute peut ecirctre admis pour autant que cela

soit preacutevu dans votre regraveglement inteacuterieur et compatible avec la finaliteacute initiale Une

utilisation ulteacuterieure incompatible avec la finaliteacute initiale nrsquoest possible que dans les

conditions preacutevues agrave lrsquoarticle 20 du regraveglement

106Vous devez veiller tout particuliegraverement agrave garantir la seacutecuriteacute des donneacutees agrave caractegravere

personnel qui sont collecteacutees traiteacutees et stockeacutees Les organisations doivent prendre

les mesures techniques et organisationnelles approprieacutees pour seacutecuriser les donneacutees

afin de tenir compte des risques pour les personnes concerneacutees Cela suppose entre

autres de disposer drsquoun processus de gestion des risques lieacutes agrave lrsquoinformation Pour

plus drsquoinformations voir la section 381 ci-dessous

35 Le droit de savoir

R16 Pour chaque opeacuteration de traitement veillez agrave ce que les donneacutees soient traiteacutees

pour la finaliteacute indiqueacutee et qursquoelles ne soient pas traiteacutees ulteacuterieurement drsquoune

Example 7 Limitation de la finaliteacute et journaux informatiques

Une institution europeacuteenne conserve des journaux des connexions internet afin

drsquoassurer la fonctionnaliteacute et la seacutecuriteacute de ses systegravemes Lrsquoune des tacircches de

lrsquoadministrateur informatique consiste agrave veiller au fonctionnement des systegravemes Pour

ce faire elle doit avoir accegraves agrave ces fichiers journaux y compris les sites internet visiteacutes

par le personnel chaque jour

La cheffe drsquoune autre uniteacute demande que lrsquoadministratrice lui transmette les fichiers

journaux drsquoun membre du personnel travaillant sous sa supervision car elle soupccedilonne

ce membre du personnel de passer beaucoup de temps sur des sites de loisirs et sur les

reacuteseaux sociaux neacutegligeant ainsi son travail

La finaliteacute de la conservation des fichiers journaux est drsquoassurer le bon fonctionnement

des systegravemes ainsi que de deacutetecter les incidents et drsquoy reacutepondre et non drsquoaider les

membres de lrsquoencadrement agrave garder un œil sur leur personnel Lrsquoadministratrice

informatique doit rejeter la demande

En revanche si une enquecircte administrative sur le comportement de ce membre du

personnel avait eacuteteacute lanceacutee conformeacutement aux dispositions applicables du regraveglement

inteacuterieur et que la demande eacutemanait du comiteacute drsquoenquecircte le changement de finaliteacute

pourrait ecirctre autoriseacute


27 | P a g e

107 En regravegle geacuteneacuterale vous devez informer les personnes concerneacutees sur la maniegravere dont

leurs donneacutees seront utiliseacutees avant le deacutebut du traitement

108 Le contenu minimal des informations qui doivent ecirctre fournies est deacutefini aux

articles 11 et 12 du regraveglement Les personnes concerneacutees doivent ecirctre informeacutees des

eacuteleacutements suivants

a la personne responsable de traitement (identiteacute du responsable du traitement)

b la finaliteacute de la collecte du stockage et de lrsquoutilisation des donneacutees

c les personnes avec lesquelles les donneacutees seront partageacuteesqui y auront accegraves

d si les donneacutees doivent ecirctre collecteacutees aupregraves de la personne concerneacutee la

fourniture des informations est-elle obligatoire ou facultative Si elle est

obligatoire quelles sont les conseacutequences de la non-fourniture de celles-ci

e si les informations agrave caractegravere personnel ne sont pas collecteacutees directement

aupregraves de la personne concerneacutee lrsquoendroit drsquoougrave elles proviennent quel type de

donneacutees vont ecirctre traiteacutees Crsquoest par exemple le cas des informations

contenues dans les journaux relatifs aux activiteacutes sur les systegravemes

informatiques eacutetant donneacute que lrsquoutilisateur ne sait pas ce qui est enregistreacute il

convient de lrsquoen informer En revanche dans une proceacutedure de seacutelection il

nrsquoest pas neacutecessaire de reacutepeacuteter dans la deacuteclaration de confidentialiteacute

lrsquoensemble des cateacutegories de donneacutees demandeacutees dans le formulaire de

candidature eacutetant donneacute que la personne sait ce qursquoelle a fourni un renvoi au

laquocontenu du formulaire de demanderaquo est suffisant

f leur droit drsquoaccegraves aux donneacutees les concernant et de rectification de ces

donneacutees il srsquoagit notamment de fournir des informations sur la maniegravere

drsquoacceacuteder aux donneacutees par exemple en indiquant les coordonneacutees de la

personne agrave qui adresser la demande

g toute autre information neacutecessaire pour assurer un traitement loyal des

donneacutees telle que

i la base juridique du traitement

ii la dureacutee de conservation des donneacutees

iii le droit de recours aupregraves du CEPD

109 Vous devez fournir ces informations aux personnes concerneacutees en des termes concis

et aiseacutement compreacutehensibles

110 Vous devez le faire via une deacuteclaration de confidentialiteacute eacutetant donneacute que les

informations contenues dans les documents exposant lrsquoapproche de votre institution

en matiegravere de traitement des donneacutees des communications eacutelectroniques ne sont pas

reacutedigeacutees speacutecifiquement pour informer les personnes dont les donneacutees seront traiteacutees

Une simple reacutefeacuterence agrave ces documents ne constitue pas une maniegravere tregraves conviviale

drsquoinformer les personnes concerneacutees

28 | P a g e

111 Plus une deacuteclaration de confidentialiteacute est courte plus elle est susceptible drsquoecirctre lue

Dans la plupart des cas une page suffira pour communiquer les informations requises

Les avis laquoagrave plusieurs niveauxraquo contenant un bref reacutesumeacute avec un lien vers une

explication complegravete sont eacutegalement une possibiliteacute

112 La publication des deacuteclarations de confidentialiteacute sur le site intranet de

lrsquoinstitution ne suffit pas Vous devez activement informer les personnes concerneacutees

Pour le nouveau personnel lrsquointeacutegration de ces informations dans le dossier drsquoaccueil

peut ecirctre une option inteacuteressante elles peuvent eacutegalement ecirctre communiqueacutees au

moyen drsquoeacutecrans pop-up lors de la premiegravere connexion agrave lrsquoordinateur

113 Dans certains cas il peut y avoir de bonnes raisons de ne pas informer immeacutediatement

une personne de lrsquoutilisation de ses donneacutees par exemple dans les premiegraveres phases

drsquoune enquecircte administrative Le regraveglement relatif agrave la protection des donneacutees le

permet sous certaines conditions qui sont eacutenumeacutereacutees agrave lrsquoarticle 20 Pour de plus

amples informations voir les lignes directrices du CEPD sur les droits des individus

pages 26 et suivantes

114 Il srsquoagit par exemple de la preacutevention et de la poursuite drsquoinfractions peacutenales Si une

institution souhaite recourir agrave une telle limitation une documentation exposant en

deacutetail les raisons pour lesquelles cette limitation est neacutecessaire doit ecirctre conserveacutee

Dans les cas ougrave ces limitations sont neacutecessaires les regravegles drsquoapplication concernant la

protection des donneacutees au sein de lrsquoinstitution peuvent exiger la consultation du

deacuteleacutegueacute agrave la protection des donneacutees

Example 8 Information sur les regravegles drsquoutilisation des ressources informatiques

Une institution fournit les services TIC standard agrave son personnel (teacuteleacutephones boicirctes

aux lettres eacutelectronique accegraves agrave lrsquointernet sur les ordinateurs de bureau accegraves au

WiFi etc) les visiteurs peuvent utiliser lrsquoaccegraves WiFi laquoinviteacuteraquo

Le personnel est informeacute des regravegles applicables lors de son entreacutee en service aupregraves de

cette institution au moyen du dossier drsquoaccueil qui comprend une copie du document

exposant la politique en la matiegravere et une deacuteclaration de confidentialiteacute concise drsquoune

page (ces documents eacutetant eacutegalement disponibles sur le site intranet de lrsquoinstitution)

Lorsque la politique est modifieacutee les membres du personnel en sont informeacutes par un

courrier eacutelectronique contenant un reacutesumeacute des modifications La politique eacutenonce les

regravegles relatives agrave la maniegravere dont lrsquoinstitution peut acceacuteder aux boicirctes aux lettres

eacutelectroniques des membres du personnel en leur absence En outre lorsque ces

proceacutedures cibleacutees sont utiliseacutees les membres du personnel concerneacutes en sont

informeacutes personnellement

Eacutetant donneacute que seul un petit nombre de ces opeacuterations de traitement preacutesentent un

inteacuterecirct pour les visiteurs ceux-ci peuvent ecirctre informeacutes drsquoune maniegravere diffeacuterente par

exemple au moyen drsquoune deacuteclaration de confidentialiteacute sur la fiche de renseignements

contenant les codes drsquoaccegraves au WiFi laquoinviteacuteraquo etou par une reacuteorientation vers la

deacuteclaration de confidentialiteacute lors de la premiegravere connexion au reacuteseau

29 | P a g e

36 Droits drsquoaccegraves et de rectification

115 Toute personne physique (eacutegalement connue sous le nom de personne concerneacutee) a un

droit drsquoaccegraves et de rectification des donneacutees agrave caractegravere personnel la concernant

conformeacutement aux articles 13 et 14 du regraveglement Votre institution doit uniquement

donner accegraves aux informations dont elle dispose au sujet de cette personne ces droits

nrsquoobligent pas votre institution agrave conserver des donneacutees qursquoelle nrsquoaurait pas

conserveacutees autrement

116 Les informations que vous ecirctes tenu de fournir sont preacuteciseacutees dans les lignes

directrices du CEPD sur les droits des individus pages 9 et suivantes En reacutesumeacute

vous devez fournir les eacuteleacutements suivants

a si les donneacutees agrave caractegravere personnel du demandeur font lrsquoobjet drsquoun traitement

b des deacutetails sur le traitement par exemple dans une deacuteclaration de

confidentialiteacute et des informations compleacutementaires le cas eacutecheacuteant

c les informations qui sont traiteacutees et aupregraves de qui elles ont eacuteteacute obtenues

d la logique drsquoun eacuteventuel processus deacutecisionnel automatiseacute Par exemple si la

facture de votre teacuteleacutephone portable professionnel excegravede 200 euros vous

recevez un avertissement Si la facture deacutepasse 200 euros deux mois drsquoaffileacutee

votre supeacuterieur hieacuterarchique en est informeacute

117 Le deacutelai de reacuteponse leacutegal agrave une demande drsquoaccegraves ou de rectification au titre du

regraveglement relatif agrave la protection des donneacutees est de trois mois Toutefois les modaliteacutes

drsquoapplication concernant la protection des donneacutees au sein de votre institution peuvent

imposer des deacutelais plus stricts En cas de doute veacuterifiez les deacutelais applicables aupregraves

du deacuteleacutegueacute agrave la protection des donneacutees

Example 9 Limitation du droit agrave lrsquoinformation

Un membre du personnel est soupccedilonneacute de passer plusieurs heures de sa journeacutee de

travail sur des sites web de jeux drsquoargent et de hasard

La politique drsquoaccegraves aux ressources informatiques indique que les fichiers journaux

concernant lrsquoaccegraves agrave lrsquointernet peuvent ecirctre utiliseacutes pour des enquecirctes administratives

et des proceacutedures disciplinaires

Une enquecircte administrative concernant le comportement de ce membre du personnel

est lanceacutee conformeacutement aux regravegles applicables Le fait de lrsquoen informer

immeacutediatement pourrait gravement nuire agrave lrsquoenquecircte dans la mesure ougrave il modifierait

probablement son comportement pendant la dureacutee de celle-ci et entraverait ainsi les

efforts visant agrave apporter la preuve qursquoil manque agrave ses obligations

Dans ces circonstances le report de lrsquoinformation peut ecirctre justifieacute La personne qui

dirige lrsquoenquecircte doit indiquer laquelle des exceptions preacutevues agrave lrsquoarticle 20 du

regraveglement srsquoapplique et pourquoi il est neacutecessaire drsquoy recourir Lorsque la limitation

nrsquoest plus neacutecessaire le membre du personnel doit ecirctre informeacute


30 | P a g e

118 Srsquoil nrsquoest pas possible de proceacuteder agrave une rectification par la modification des donneacutees

(par exemple parce qursquoil faut preacuteserver lrsquointeacutegriteacute des fichiers journaux) le deacutesaccord

de la personne concerneacutee doit pouvoir ecirctre consigneacute

119 Les exceptions agrave ces droits sont limiteacutees conformeacutement agrave lrsquoarticle 20 du regraveglement

relatif agrave la protection des donneacutees Pour de plus amples informations voir les lignes

directrices du CEPD sur les droits des individus pages 26 et suivantes

37 Documentez ce que vous faites

120 Lrsquoobligation de rendre des comptes suppose de faire ce qursquoil faut de maniegravere

responsable et reproductible Des politiques bien conccedilues et bien geacutereacutees constituent un

eacuteleacutement essentiel de lrsquoobligation de rendre des comptes

121 Ces politiques aident les institutions agrave voir comment mettre en œuvre les

recommandations formuleacutees dans les preacutesentes lignes directrices telles que celles sur

le principe de limitation de la finaliteacute les principes de qualiteacute des donneacutees et

lrsquoinformation de toutes les personnes dont les donneacutees agrave caractegravere personnel sont

traiteacutees

122 Ces politiques doivent ecirctre reacuteexamineacutees reacuteguliegraverement et adapteacutees si neacutecessaire

123 Le regraveglement contient des obligations speacutecifiques en matiegravere de documentation En

vertu de lrsquoarticle 25 toutes les opeacuterations de traitement doivent ecirctre notifieacutees agrave votre

deacuteleacutegueacute agrave la protection des donneacutees qui disposera drsquoun formulaire agrave compleacuteter agrave cet

effet Vous devrez lrsquoinformer avant le deacutebut du traitement afin qursquoil soit en mesure de

fournir des conseils de proposer des ameacuteliorations et de notifier le traitement au

CEPD en vue drsquoun controcircle preacutealable si neacutecessaire

124 En outre certains traitements preacutesentant un risque doivent ecirctre notifieacutes au CEPD

en vue drsquoun controcircle preacutealable pour les communications eacutelectroniques il srsquoagit

essentiellement du traitement de certaines cateacutegories particuliegraveres de donneacutees

mentionneacutees agrave lrsquoarticle 27 paragraphe 2 point a) du regraveglement et des traitements

destineacutes agrave eacutevaluer des aspects de la personnaliteacute de la personne concerneacutee (article 27

Example 10 Octroi de lrsquoaccegraves aux informations

Une institution autorise les membres de son personnel agrave utiliser les teacuteleacutephones de bureau pour

leurs appels priveacutes agrave condition que ces appels soient deacuteclareacutes au moyen drsquoun code speacutecifique Le

coucirct de ces appels est pris en charge par le membre du personnel concerneacute

Lrsquoapplication utiliseacutee pour collecter ces informations permet aux membres du personnel de

veacuterifier leur propre liste drsquoappels deacuteclareacutes au moyen drsquoun lien sur le site intranet de lrsquoinstitution

Si le membre du personnel constate une erreur un formulaire de contact lui permet drsquoavertir les

responsables qui procegravedent aux corrections neacutecessaires

R19 Geacuterez les politiques de votre institution relatives aux donneacutees des communications

eacutelectroniques


31 | P a g e

paragraphe 2 point b)) Les cateacutegories les plus pertinentes pour les communications

eacutelectroniques concernent le traitement de donneacutees relatives agrave des suspicions

infractions ou mesures de sucircreteacute Les mesures de sucircreteacute viseacutees ici ne concernent pas la

seacutecuriteacute de lrsquoinformation mais des actions telles que lrsquoadmission en traitement

psychiatrique forceacute des mesures coercitives prises agrave lrsquoencontre drsquoune personne pour

sa propre seacutecuriteacute (ou celles des autres) On citera eacutegalement comme exemples

lrsquoanalyse du trafic destineacutee agrave eacutevaluer les membres du personnel ou la surveillance

discregravete dans le cadre drsquoenquecirctes administratives Le deacuteleacutegueacute agrave la protection des

donneacutees informera le CEPD mais se mettra en relation avec le responsable du

traitement pour remplir le formulaire de notification agrave envoyer au CEPD Pour votre

propre planification il convient de tenir compte du deacutelai neacutecessaire au CEPD pour

rendre son avis (jusqursquoagrave 2 mois pouvant ecirctre prolongeacute pour une peacuteriode

suppleacutementaire de 2 mois sans compter la suspension du dossier en cas de demande

drsquoinformations compleacutementaires)

125 Voici quelques exemples de traitements qui ne doivent pas ecirctre notifieacutes au CEPD

a traitement des donneacutees teacuteleacutephoniques uniquement agrave des fins de gestion de la

facturation et du budget pour autant qursquoil nrsquoy ait aucune intention de veacuterifier

lrsquousage autoriseacute ou drsquoeacutevaluer les travailleurs

b traitement des donneacutees relatives au trafic (par exemple courrier eacutelectronique

et internet) aux fins de la gestion de la seacutecuriteacute ou du trafic effectueacute

automatiquement et de maniegravere anonyme pour autant qursquoil nrsquoy ait aucune

intention de veacuterifier lrsquousage autoriseacute ou drsquoeacutevaluer les travailleurs

126 Il vous incombe de tenir votre documentation et vos notifications agrave jour Chaque fois

qursquoun changement intervient dans vos proceacutedures qui a une incidence sur le contenu

de la notification ou de la deacuteclaration de confidentialiteacute ou preacutesente un inteacuterecirct sous

lrsquoangle de la protection des donneacutees informez-en votre deacuteleacutegueacute agrave la protection des

donneacutees Il srsquoagit drsquoun eacuteleacutement important du processus drsquoobligation de rendre des

comptes

Example 11 Utilisation des fichiers journaux dans les enquecirctes administratives

Si votre institution met agrave jour les dispositions de son regraveglement inteacuterieur relatives aux enquecirctes

administratives afin de refleacuteter lrsquoutilisation des fichiers journaux dans la proceacutedure la

notification initiale que vous avez transmise agrave votre deacuteleacutegueacute agrave la protection des donneacutees en ce qui

concerne les enquecirctes administratives doit ecirctre mise agrave jour en conseacutequence Eacutetant donneacute que

lrsquoutilisation des fichiers journaux nrsquoest pas une finaliteacute en soi mais fait partie des enquecirctes

administratives une nouvelle notification seacutepareacutee nrsquoest pas neacutecessaire


32 | P a g e

38 Mesures de seacutecuriteacute techniques et organisationnelles

381 Geacuterez les risques lieacutes agrave vos informations

127 Votre organisation doit mettre en place les mesures techniques et organisationnelles

approprieacutees afin de garantir la seacutecuriteacute drsquoutilisation des reacuteseaux de communication

eacutelectronique et des eacutequipements terminaux (seacutecuriteacute des systegravemes et des donneacutees agrave

caractegravere personnel) en collaboration avec les fournisseurs de services ou de reacuteseaux

si neacutecessaire Conformeacutement agrave lrsquoarticle 22 du regraveglement ces mesures devraient

assurer un niveau de seacutecuriteacute approprieacute au regard des risques preacutesenteacutes pour toutes les

informations compte tenu des solutions techniques disponibles et des coucircts lieacutes agrave leur

mise en œuvre

128 Cela signifie qursquoil faut mettre en œuvre un processus de gestion des risques lieacutes aux

informations conformeacutement aux principes eacutetablis en matiegravere de bonnes pratiques (par

exemple la seacuterie de normes ISOCEI 27000) La premiegravere eacutetape consiste en une

eacutevaluation des risques qui devrait inclure une analyse de lrsquoutilisation des ressources

de communication eacutelectronique Cette eacutevaluation vous aidera agrave deacuteterminer les

principaux risques de seacutecuriteacute et servira de base pour seacutelectionner les controcircles

approprieacutes agrave mettre en place afin de reacuteduire les risques agrave un niveau acceptable pour la

gestion Le processus de gestion des risques doit comporter un reacuteexamen peacuteriodique

de lrsquoeacutevaluation des risques et de lrsquoadeacutequation des garanties et controcircles

129 Vous devez documenter de faccedilon approprieacutee le processus de gestion des risques lieacutes agrave

lrsquoinformation conformeacutement aux normes eacutetablies pour cette proceacutedure et

communiquer celui-ci en tant que politique de lrsquoinstitution Ce processus doit

eacutegalement ecirctre revu reacuteguliegraverement afin de garantir qursquoil conserve son efficaciteacute et

reste conforme aux objectifs opeacuterationnels qursquoils soient nouveaux ou modifieacutes

130 Le processus (en particulier lrsquoanalyse des risques de seacutecuriteacute) ne devrait pas

uniquement impliquer le personnel chargeacute des questions de seacutecuriteacute au sein de

lrsquoinstitution europeacuteenne concerneacutee Lrsquoanalyse doit prendre en compte lrsquoincidence

sur tous les domaines de lrsquoorganisation de sorte qursquoun large eacuteventail de

repreacutesentants (RH deacuteleacutegueacute agrave la protection des donneacutees coordinateur de la protection

des donneacutees activiteacutes de base) doivent eacutegalement ecirctre associeacutes aux discussions

131 Vous devriez clairement communiquer les reacutesultats du processus de gestion des

risques lieacutes agrave lrsquoinformation et les risques de seacutecuriteacute existants agrave toutes les personnes

concerneacutees ou potentiellement concerneacutees lrsquoencadrement et drsquoautres acteurs

pourraient beacuteneacuteficier drsquoune communication plus deacutetailleacutee



33 | P a g e

382 Externalisation de services

132 Il est possible que les institutions europeacuteennes souhaitent sous-traiter certaines

fonctions lieacutees au traitement des donneacutees des communications eacutelectroniques agrave des

prestataires exteacuterieurs Par exemple votre organisation pourrait faire appel agrave des

socieacuteteacutes exteacuterieures pour assurer la surveillance de la seacutecuriteacute la gestion des antivirus

la gestion du courrier eacutelectronique ou lrsquoeacutetablissement de statistiques Dans ce cas des

preacutecautions approprieacutees doivent ecirctre prises En particulier

a il convient que votre institution fasse preuve drsquoun grand soin dans le choix

drsquoun sous-traitant qui offre des garanties suffisantes quant aux mesures de

seacutecuriteacute techniques et organisationnelles requises au titre du regraveglement il

incombe agrave lrsquoinstitution de veiller au respect de ces mesures par le sous-

traitant

b la relation entre lrsquoinstitution europeacuteenne et le sous-traitant doit ecirctre formaliseacutee

par un contrat ou un acte juridique qui lie le sous-traitant au responsable du

traitement Ce document doit stipuler que

i le sous-traitant nrsquoagit que sur instruction de votre organisation

ii les obligations en matiegravere de confidentialiteacute et de seacutecuriteacute eacutenonceacutees

dans le regraveglement incombent eacutegalement au sous-traitant (agrave moins que

des obligations similaires ne srsquoappliquent deacutejagrave agrave celui-ci en vertu de la

leacutegislation nationale mettant en œuvre la directive 9546CE) Pour les

contractants situeacutes en dehors de lrsquoUnion des garanties adeacutequates

doivent ecirctre assureacutees Voir eacutegalement le document exposant la position

du CEPD sur le transfert de donneacutees agrave caractegravere personnel agrave des pays

tiers et des organisations internationales par les institutions et organes

de lrsquoUnion en particulier les pages 18 agrave 21

133 Le regraveglement srsquoapplique eacutegalement agrave tout service externaliseacute et il incombe agrave

lrsquoinstitution de veiller agrave ce que les socieacuteteacutes exteacuterieures suivent les principes qui y sont

eacutenonceacutes et mettent en œuvre les garanties approprieacutees par exemple demander au

personnel du contractant de signer des deacuteclarations de confidentialiteacute similaires agrave

celles qui ont eacuteteacute signeacutees par le personnel de votre propre organisation





34 | P a g e

ANNEXE 1 REacuteSUMEacute DES PRINCIPES REacuteGISSANT LA PROTECTION DES

DONNEacuteES

La liste ci-dessous donne un aperccedilu rapide des principes geacuteneacuteralement reconnus en matiegravere

de protection des donneacutees Vous trouverez lrsquoensemble ou la plupart drsquoentre eux dans les

regravegles reacutegissant la protection des donneacutees dans lrsquoUnion Il vous revient en tant que

responsable du traitement de les suivre et de pouvoir deacutemontrer que vous le faites Ils ne

remplacent pas les conseils fournis dans les preacutesentes lignes directrices mais expliquent la

philosophie qui sous-tend ceux-ci

1 Les donneacutees agrave caractegravere personnel doivent ecirctre traiteacutees loyalement et licitement

Vous devez vous assurer que vous disposez drsquoun motif licite pour traiter des donneacutees

agrave caractegravere personnel Ce peut ecirctre le cas par exemple si le traitement est neacutecessaire agrave

lrsquoaccomplissement des tacircches qui sont confeacutereacutees agrave votre institution par la loi (y

compris les activiteacutes administratives internes neacutecessaires) Par traitement loyal on

entend le fait de dire aux gens ce qursquoil adviendra de leurs donneacutees et de srsquoen tenir agrave ce

qui a eacuteteacute dit

2 Les donneacutees agrave caractegravere personnel doivent ecirctre collecteacutees uniquement pour des

finaliteacutes deacutetermineacutees explicites et leacutegitimes et ne pas ecirctre traiteacutees ulteacuterieurement

de maniegravere incompatible avec ces finaliteacutes

Deacuteterminez explicitement pourquoi et comment vous traitez des donneacutees agrave caractegravere

personnel Ne les utilisez pas drsquoune maniegravere incompatible avec cette finaliteacute initiale

3 Les donneacutees agrave caractegravere personnel doivent ecirctre adeacutequates pertinentes et non

excessives au regard des finaliteacutes poursuivies

Reacutefleacutechissez aux donneacutees dont vous avez besoin pour les finaliteacutes que vous avez

deacutetermineacutees et traitez ces cateacutegories de donneacutees exclusivement

4 Les donneacutees agrave caractegravere personnel doivent ecirctre exactes et si neacutecessaire mises agrave

jour

Veillez agrave ce que les donneacutees que vous traitez soient exactes des donneacutees inexactes

pouvant vous amener agrave prendre de mauvaises deacutecisions Le cas eacutecheacuteant veillez agrave ce

que les donneacutees soient mises agrave jour

5 Accordez des droits drsquoaccegraves et de rectification

Les inteacuteresseacutes ont le droit drsquoacceacuteder aux donneacutees agrave caractegravere personnel les concernant

traiteacutees par votre institution et de faire rectifier les donneacutees inexactes Veillez agrave ce

qursquoils puissent facilement exercer ces droits Cela peut eacutegalement vous aider agrave garantir

que les donneacutees sont exactes et mises agrave jour

6 Les donneacutees agrave caractegravere personnel traiteacutees ne doivent pas ecirctre conserveacutees plus

longtemps que neacutecessaire

Reacutefleacutechissez agrave la dureacutee pendant laquelle vous devez conserver les donneacutees et

conservez-les ensuite pendant cette dureacutee mais pas au-delagrave

7 Veillez agrave la seacutecuriteacute des donneacutees personnelles

Proceacutedez agrave une eacutevaluation des risques et prenez les mesures de seacutecuriteacute approprieacutees en

tenant compte de lrsquoeacutetat de lrsquoart des risques lieacutes au traitement et du coucirct de la mise en

œuvre

8 Regravegles en matiegravere de transferts

35 | P a g e

Assurez-vous de suivre les regravegles speacutecifiques en matiegravere de transfert de donneacutees agrave

caractegravere personnel agrave des tiers en particulier en cas de transfert en dehors de lrsquoUnion

1 | P a g e

Synthegravese

Pour la majoriteacute de la population les communications eacutelectroniques telles que le courrier

eacutelectronique internet et la teacuteleacutephonie occupent une place centrale dans les activiteacutes priveacutees et

professionnelles quotidiennes

En effet les communications eacutelectroniques sont aujourdrsquohui essentielles au fonctionnement

efficace de la majoriteacute des organisations et les institutions organes offices et agences de

lrsquoUnion (les laquoinstitutions europeacuteennesraquo) ne font pas exception agrave la regravegle

Les preacutesentes lignes directrices ont pour but de fournir aux institutions europeacuteennes des

conseils et instructions concernant le traitement des informations agrave caractegravere personnel dans

le cadre de lrsquoutilisation des outils de communication eacutelectronique pour srsquoassurer qursquoelles

respectent leurs obligations en matiegravere de protection des donneacutees agrave caractegravere personnel telles

qursquoeacutenonceacutees dans le regraveglement (CE) ndeg 452001 sur la protection des donneacutees applicables aux

institutions europeacuteennes (le laquoregraveglementraquo)

En principe les organisations utilisant les communications eacutelectroniques traitent les donneacutees

agrave caractegravere personnel de leurs travailleurs par exemple dans le cadre de la gestion des

services de communication eacutelectronique de la facturation et de la veacuterification de lrsquousage

autoriseacute Dans la plupart des cas un usage priveacute limiteacute des eacutequipements de travail est permis

de sorte que lrsquointervention drsquoun employeur sur lrsquoutilisation des communications eacutelectroniques

par les travailleurs est susceptible de toucher agrave des aspects directement lieacutes agrave leur vie priveacutee

Les communications eacutelectroniques sont donc un sujet complexe qui requiert des orientations

En outre ce domaine lrsquoun des plus dynamiques de la technologie eacutevolue rapidement Par

conseacutequent les preacutesentes lignes directrices adoptent une approche neutre sur le plan

technologique et ne preacuteconisent pas de mesures techniques speacutecifiques Elles mettent plutocirct

clairement lrsquoaccent sur les principes geacuteneacuteraux en matiegravere de protection des donneacutees qui

permettront aux institutions europeacuteennes de respecter le regraveglement sur la protection des

donneacutees

Si les preacutesentes lignes directrices sont en principe destineacutees aux institutions europeacuteennes

toute personne ou tout organisme ayant un inteacuterecirct pour la protection des donneacutees et les

communications eacutelectroniques pourrait les trouver utiles le regraveglement est similaire agrave de

nombreux eacutegards agrave la directive (CE) 9546 relative agrave la protection des donneacutees qui est

transposeacutee dans les leacutegislations nationales des Eacutetats membres de lrsquoUnion ainsi que dans les

regravegles nationales de lrsquoIslande du Liechtenstein et de la Norvegravege

2 | P a g e










cet effet



























indiqueacutees










3 | P a g e









4 | P a g e


1 Introduction 5

11 STRUCTURE 5



speacutecifiques 7























5 | P a g e

1 INTRODUCTION













documents























11 Structure



6 | P a g e









etc






















lignes directrices



internet





7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



2 | P a g e










cet effet



























indiqueacutees










3 | P a g e









4 | P a g e


1 Introduction 5

11 STRUCTURE 5



speacutecifiques 7























5 | P a g e

1 INTRODUCTION













documents























11 Structure



6 | P a g e









etc






















lignes directrices



internet





7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



3 | P a g e









4 | P a g e


1 Introduction 5

11 STRUCTURE 5



speacutecifiques 7























5 | P a g e

1 INTRODUCTION













documents























11 Structure



6 | P a g e









etc






















lignes directrices



internet





7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



4 | P a g e


1 Introduction 5

11 STRUCTURE 5



speacutecifiques 7























5 | P a g e

1 INTRODUCTION













documents























11 Structure



6 | P a g e









etc






















lignes directrices



internet





7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



5 | P a g e

1 INTRODUCTION













documents























11 Structure



6 | P a g e









etc






















lignes directrices



internet





7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



6 | P a g e









etc






















lignes directrices



internet





7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



7 | P a g e






drsquourgence)


en son absence































8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



8 | P a g e









conseacutequence












organisation

De

Date


Agrave

Objet

Cci

Cc

Type de contenu

Expeacutediteur








9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



9 | P a g e





















systegraveme


















10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



10 | P a g e



























correspondantes











11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



11 | P a g e








recommandation R15)
































lrsquoinstitution

12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



12 | P a g e








documentation)







neacutecessiteacute








intensifieacutee

















13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



13 | P a g e







































14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



14 | P a g e








































15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



15 | P a g e











adeacutequat




























16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



16 | P a g e










dysfonctionnements








priveacutee







papier












17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



17 | P a g e














regraveglement














de lrsquoaccegraves



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



18 | P a g e









































19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



19 | P a g e





































discregravete

20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



20 | P a g e









































21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



21 | P a g e








































22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



22 | P a g e



























courant








consideacuteration



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



23 | P a g e



preacutevues
























donneacutees













24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



24 | P a g e







































25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



25 | P a g e









































26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



26 | P a g e


preacutevue






































27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



27 | P a g e







































28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



28 | P a g e









































29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



29 | P a g e








































30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



30 | P a g e















traiteacutees






















eacutelectroniques


31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



31 | P a g e




























comptes









32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



32 | P a g e










mise en œuvre



























33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



33 | P a g e












traitant























34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



34 | P a g e


DONNEacuteES
























jour
















œuvre


35 | P a g e



35 | P a g e



Documents

Lignes directrices sur les données à caractère …...5 | P a g e 1. INTRODUCTION 1 Les présentes lignes directrices ont pour but de fournir aux institutions et organes de l’Union