|
DÉLÉGUÉS DES MINISTRES |
Résolutions |
CM/Res(2022)14 |
15 juin 2022 |
|
Résolution CM/Res(2022)14 (adoptée par le Comité des Ministres le 15 juin 2022, |
Le Comité des Ministres, conformément à l'article 16 du Statut du Conseil de l'Europe,
Ayant à l'esprit les dispositions de la Convention modernisée pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, telle qu'adoptée par les Délégués lors de la 128e Session du Comité des Ministres (Elseneur, Danemark, 17-18 mai 2018) ;
Déterminé à respecter les principes de protection des données contenus dans la Convention modernisée au sein même du Conseil de l'Europe ;
Soucieux de promouvoir au sein du Conseil de l'Europe le droit au respect de la vie privée et de la correspondance consacré par l'article 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales tel qu'interprété par la Cour européenne des droits de l'homme ;
Vu l’article 2.1.3 du Statut du personnel du Conseil de l’Europe adopté par la Résolution CM/Res(2021)6 du Comité des Ministres le 22 septembre 2021 ;
Considérant que le Règlement du Secrétaire Général du 17 avril 1989 instaurant un système de protection des données pour les fichiers de données à caractère personnel au Conseil de l'Europe est obsolète et doit être remplacé par le nouveau Règlement du Conseil de l'Europe sur la protection des données ;
Sur proposition de la Secrétaire Générale, le Comité du personnel ayant été consulté conformément à l'article 6, paragraphe 1, du Règlement sur la participation du personnel (Annexe I du Statut du personnel) ;
Décide :
Article 1
Le Règlement sur la protection des données à caractère personnel tel qu’il figure ci-dessous est adopté avec une date d’entrée en vigueur fixée au 1er janvier 2023.
Article 2
Le·la Secrétaire Général·e veille à ce que les traitements de données à caractère personnel déjà en cours à la date d'entrée en vigueur du présent Règlement soient mis en conformité avec celui-ci dans un délai de deux ans.
Article 3
Le·la Commissaire à la protection des données en fonction à la date d'entrée en vigueur du présent Règlement continue d'exercer ses missions jusqu'à l'expiration de son mandat, sans préjudice de la possibilité d’être réélu·e conformément aux dispositions du présent Règlement.
Article 4
En attendant l'entrée en vigueur de la Convention 108+, le·la Commissaire à la protection des données sera élu·e par les représentant·e·s des États membres au sein du Comité de la Convention établi en vertu de l'article 18 de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Le rapport annuel d'activités du·de la Commissaire à la protection des données sera également présenté audit Comité de la Convention.
Article 5
Le Règlement du 17 avril 1989 instaurant un système de protection des données pour les fichiers de données à caractère personnel au Conseil de l'Europe est abrogé avec effet au 1er janvier 2023.
Annexe à la Résolution CM/Res(2022)14
REGLEMENT SUR LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Section I - Dispositions générales
Article 1
Objet et but
Conformément au présent Règlement, le Conseil de l’Europe, ci-après « l’Organisation », assure la protection de toute personne, quelle que soit sa nationalité ou son lieu de résidence, à l’égard du traitement de ses données à caractère personnel par l’Organisation, contribuant ainsi au respect de ses droits humains et de ses libertés fondamentales, et en particulier de son droit à la vie privée.
Article 2
Définitions
Aux fins du présent Règlement:
2.1 « données à caractère personnel » signifie : toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; une personne n'est pas considérée comme identifiable si son identification requiert un temps, des efforts ou des moyens déraisonnables ;
2.2 « traitement de données » signifie : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou des ensembles de données à caractère personnel, que ce soit ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, l'effacement, la destruction ou l'exécution d'opérations logiques et/ou arithmétiques sur ces données ;
2.3 lorsque aucun procédé automatisé n’est utilisé, « traitement de données » désigne une opération ou des opérations effectuées sur des données à caractère personnel au sein d’un ensemble structuré de données qui sont accessibles ou peuvent être retrouvées selon des critères spécifiques ;
2.4 « responsable du traitement » signifie : toute entité administrative, tout organe, toute institution ou toute autorité au sein de l'Organisation qui, seul·e ou conjointement avec d'autres, a le pouvoir de décision en matière de traitement de données, que ce pouvoir découle d'un acte juridique, d’une délégation ou de circonstances de fait ;
2.5 « destinataire » signifie : une personne physique ou morale, une autorité publique ou tout autre organisme qui reçoit communication de données ou à qui des données sont rendues accessibles ;
2.6 « sous-traitant » signifie : une personne morale ou physique (autre qu'un·e membre du Secrétariat de l'Organisation), une autorité publique ou tout autre organisme qui traite des données à caractère personnel pour le compte du·de la responsable du traitement ;
2.8 « consentement de la personne concernée » signifie : toute indication donnée librement, sans équivoque, précise et éclairée, soit par une déclaration, soit par une action délibérée, marquant sans ambiguïté l'accord au traitement de données à caractère personnel la concernant ou concernant des personnes pour lesquelles elle exerce une autorité légale.
Article 3
Champ d'application
3.1 Le présent Règlement s'applique au traitement par l'Organisation des données à caractère personnel, en ce compris le siège et tous les bureaux extérieurs établis par l’Organisation.
3.2 Le traitement des données à caractère personnel par la Cour européenne des droits de l'homme dans le cadre de ses activités judiciaires est régi par les règles adoptées par la Cour.
3.3 Le traitement des données à caractère personnel par le Tribunal administratif du Conseil de l'Europe dans le cadre de ses activités judiciaires est régi par le Statut du Tribunal et ses propres règles.
Section II – Principes pour la protection des données à caractère personnel
Article 4
Légitimité du traitement de données et qualité des données
4.1 Le traitement de données doit être proportionné au regard de la finalité légitime poursuivie et refléter, à chaque étape du traitement, un juste équilibre entre tous les intérêts en présence, qu'ils soient publics ou privés, ainsi que les droits et les libertés en jeu.
4.2 Le traitement de données peut être effectué :
4.2.1 sur la base des instruments juridiques du Conseil de l'Europe ou de son cadre juridique interne, lorsque cela est nécessaire à l'accomplissement des tâches et activités de l'Organisation en vue de la réalisation de son but tel qu'il est énoncé à l'article 1 du Statut, y compris l'exercice de ses fonctions statutaires ou des fonctions des entités crées par résolution ou décision des organes statutaires ou autrement établies par les États membres ; l'exercice d'autres activités de coopération internationale, y compris avec d'autres organisations internationales, et des opérations accessoires, y compris des fonctions administratives internes ;
4.2.2 lorsque cela est nécessaire pour le respect d'une obligation légale à laquelle l'Organisation est soumise ;
4.2.3 sur la base du consentement de la personne concernée ou de son représentant légal ;
4.2.4 lorsque cela est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée ;
4.2.5 lorsque cela est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne ;
4.2.6 lorsque cela est nécessaire aux fins des intérêts légitimes poursuivis par l'Organisation, à moins que ne prévalent les intérêts ou les droits et libertés fondamentales de la personne concernée.
4.3 Les données à caractère personnel faisant l'objet d'un traitement sont
4.3.1 traitées de manière licite, loyale et transparente ;
4.3.2 collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées de manière incompatible avec ces finalités ; le traitement ultérieur à des fins d’archivage et à des fins historiques, statistiques et scientifiques est compatible avec ces finalités, sous réserve de garanties appropriées complémentaires que doit prendre le·la responsable du traitement ;
4.3.3 adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
4.3.4 exactes, et si nécessaire, mises à jour ;
4.3.5 conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles les données sont traitées.
Article 5
Traitements portant sur des catégories particulières de données
5.1 Le traitement de données sensibles n’est mis en œuvre que lorsque des garanties complémentaires appropriées, prévues par le cadre juridique interne de l'Organisation, protègent contre les risques que le traitement de ces données peut présenter pour les intérêts, les droits et les libertés fondamentales de la personne concernée, notamment un risque de discrimination.
5.2 Les données sensibles comprennent :
5.2.1 les données génétiques ;
5.2.2 les données à caractère personnel concernant des infractions, des procédures et des condamnations pénales, des procédures disciplinaires et toutes mesures connexes ;
5.2.3 les données biométriques identifiant un individu de façon unique ;
5.2.4 les données à caractère personnel pour les informations qu’elles révèlent sur l'origine raciale ou ethnique, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou autres convictions, la santé ou la vie sexuelle.
Article 6
Sécurité des données
6.1 Le-la responsable du traitement ainsi que, le cas échéant, le sous-traitant prend les mesures de sécurité appropriées contre les risques tels que l'accès accidentel ou non autorisé aux données à caractère personnel, leur destruction, perte, utilisation, modification ou divulgation. Ces mesures appropriées peuvent être de nature technique ou organisationnelle et comprendre, selon les besoins :
6.1.1 la pseudonymisation et le chiffrement des données personnelles ;
6.1.2 des mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et des services de traitement ;
6.1.3 des mesures visant à rétablir la disponibilité et l'accès aux données à caractère personnel dans des délais appropriés en cas d'incident physique ou technique ;
6.1.4 une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures.
6.2 Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction accidentelle ou illicite, de la perte, de l'altération, de la divulgation de données à caractère personnel transmises, conservées ou autrement traitées, ou de l'accès non autorisé à de telles données.
6.3 Toute violation de données à caractère personnel est immédiatement notifiée par le-la responsable du traitement au·à la délégué·e à la protection des données. La notification doit, au minimum :
6.3.1 décrire la nature de la violation des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif de données à caractère personnel concernées ;
6.3.2 décrire les conséquences probables de la violation de données à caractère personnel ;
6.3.3 décrire les mesures prises ou les mesures que le·la responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuelles conséquences négatives.
6.4 Le·la responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier.
6.5 Le·la délégué·e à la protection des données notifie sans délai au·à la Commissaire à la protection des données et à la ou aux personnes concernées les violations de données susceptibles d'entraver gravement les droits et libertés fondamentales des personnes concernées.
Article 7
Transparence du traitement de données
7.1 Le·la responsable du traitement informe la personne concernée, si celle-ci ne dispose pas déjà de cette information:
7.1.1 de son identité et de ses coordonnées ;
7.1.2 de la base légale et des finalités du traitement envisagé ;
7.1.3 des catégories de données à caractère personnel traitées ;
7.1.4 le cas échéant, des destinataires ou catégories de destinataires des données à caractère personnel ;
7.1.5 de la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, des critères utilisés pour déterminer cette durée ;
7.1.6 de l'existence du droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement de la personne concernée, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
7.1.7 de l'existence d'une prise de décision automatisée, ainsi que de l'importance et des conséquences prévues de ce traitement pour la personne concernée ; et
7.1.8 des moyens d'exercer les droits énoncés à l'article 8, ainsi que de toute autre information complémentaire nécessaire pour garantir un traitement loyal et transparent des données à caractère personnel.
7.2 Lorsque les données à caractère personnel ne sont pas collectées directement auprès des personnes concernées, le·la responsable du traitement n'est pas tenu·e de fournir les informations visées à la disposition 7.1 du présent article lorsque cela lui est impossible ou implique des efforts disproportionnés ou est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. Dans ce cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés fondamentales, ainsi que les intérêts légitimes de la personne concernée.
Article 8
Droits de la personne concernée
Toute personne dont les données à caractère personnel sont traitées par l'Organisation a le droit :
8.1 d'obtenir, à sa demande, à intervalles raisonnables et sans délai excessif, la confirmation du traitement de données à caractère personnel la concernant, la communication, sous une forme intelligible, des données traitées, et toute information disponible sur leur origine, sur la durée de leur conservation ainsi que toute autre information que l'Organisation est tenue de fournir afin de garantir un traitement loyal et transparent des données à caractère personnel conformément à l'article 7.1 ;
8.2 de recevoir, à sa demande, une explication sur le raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués ;
8.3 de s'opposer à tout moment, pour des raisons tenant à sa situation, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ; l'opposition sera considérée comme injustifiée si l'Organisation démontre qu'il existe des motifs légitimes justifiant le traitement qui prévalent sur ses intérêts ou ses droits et libertés fondamentales ;
8.4 d'obtenir, à sa demande et sans délai excessif, la rectification ou l'effacement de ces données lorsqu'elles sont ou ont été traitées en violation des dispositions du présent Règlement ;
8.5 de ne pas être soumise à une décision l'affectant de manière significative, qui serait prise uniquement sur le fondement d'un traitement automatisé de données, sans que son point de vue soit pris en considération, sauf si cette décision est expressément autorisée par le cadre juridique interne du Conseil de l'Europe, à condition qu'il prévoie des mesures appropriées pour la sauvegarde des droits, des libertés et des intérêts légitimes des personnes concernées ;
8.6 de disposer d'un recours, conformément au chapitre IV du présent Règlement, en cas de violation de ses droits au titre du présent Règlement.
Article 9
Obligations complémentaires
9.1 Le·la responsable du traitement prend toutes les mesures appropriées pour garantir et être en mesure de démontrer que le traitement de données effectué par le·la responsable du traitement ou, en son nom, par un sous-traitant, est en conformité avec le présent Règlement.
9.2 Le·la responsable du traitement ainsi que, le cas échéant, le sous-traitant doit procéder, préalablement au commencement de tout traitement, à l’examen de l’impact potentiel du traitement de données envisagé sur les droits et libertés fondamentales des personnes concernées avant le début de ce traitement, et doit concevoir le traitement de données de manière à prévenir ou à minimiser le risque d'atteinte à ces droits et libertés fondamentales.
9.3 Le·la responsable du traitement ainsi que, le cas échéant, le sous-traitant prend des mesures techniques et organisationnelles tenant compte des implications du droit à la protection des données à caractère personnel à tous les stades du traitement des données.
9.4 Lorsqu'un type de traitement de données à caractère personnel est susceptible de présenter un risque pour les droits et libertés fondamentales des personnes concernées, en raison notamment de la nature et du volume des données ou de la nature, de la portée et de la finalité du traitement, le·la responsable du traitement demande l'avis du·de la délégué·e à la protection des données. Le·la délégué·e· à la protection des données consulte le·la Commissaire à la protection des données si, à son avis, le risque pour les droits et les libertés fondamentales de la ou des personnes concernées est particulièrement élevé.
9.5 Lorsqu'une décision prise par le·la responsable du traitement affecte de manière significative une personne concernée et qu'elle repose uniquement sur un traitement automatisé de données sans que l’avis de la personne concernée soit pris en considération, des mesures appropriées doivent être mise en place pour sauvegarder les droits, les libertés et les intérêts légitimes de la personne concernée.
9.6 Le·la responsable du traitement n'attribue l’exécution du traitement de données à caractère personnel à un sous-traitant que si ce dernier fournit des garanties suffisantes quant au respect d’un niveau approprié de protection des données à caractère personnel fondé sur les dispositions du présent Règlement ainsi que sur les procédures applicables.
9.7 La réalisation d'un traitement de données par un sous-traitant pour le compte de l'Organisation est régie par un contrat ou un autre acte juridique liant le sous-traitant à l'Organisation et définissant la nature et la finalité du traitement, sa durée, le type de données à caractère personnel, les catégories de personnes concernées, ainsi que les obligations et les droits de l'Organisation et du sous-traitant.
9.8 Chaque responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité. Ce registre contient toutes les informations suivantes :
9.8.1 le nom et les coordonnées du·de la responsable du traitement et, le cas échéant, du sous-traitant et du·de la co-responsable du traitement ;
9.8.2 les finalités du traitement ;
9.8.3 une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
9.8.4 les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans les États membres, les pays tiers ou les organisations internationales ;
9.8.5 le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l'existence de garanties appropriées telles que définies à l’article 12;
9.8.6 dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
9.8.7 dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 6.1.
9.9 Les registres visés à la disposition 9.8 du présent article sont consignés par écrit, y compris sous format électronique, et sont mis à la disposition du·de la délégué·e à la protection des données et/ou du·de la Commissaire à la protection des données, sur demande.
Article 10
Restrictions
10.1 Le cadre juridique interne de l’Organisation ne peut restreindre l’application des dispositions des articles 7 et 8 que lorsqu’une telle restriction respecte l'essence des droits et libertés fondamentales de la personne concernée, et qu’elle constitue une mesure nécessaire et proportionnée pour garantir :
10.1.1 la gestion des risques en matière de sûreté et de sécurité pour le personnel du Conseil de l'Europe ou d'autres personnes participant aux activités de l'Organisation, ou la protection des intérêts financiers importants de l'Organisation ;
10.1.2 la prévention des infractions au cadre juridique interne et/ou aux lois applicables, ou la conduite des enquêtes ou investigations concernant ces infractions, ainsi que la conduite des procédures disciplinaires ;
10.1.3 les procédures de règlement des litiges ;
10.1.4 la protection de la personne concernée ou des droits et libertés fondamentales d'autrui, notamment la liberté d'expression et l'accès à l'information.
10.2 L'Organisation peut restreindre l'exercice des dispositions prévues aux articles 7 et 8 en ce qui concerne les traitements de données effectués à des fins d’archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques et lorsqu'il n'existe pas de risque identifiable d'atteinte aux droits ou aux libertés fondamentales des personnes concernées. Dans la mesure du possible, des garanties appropriées complémentaires seront appliquées, telles que la minimisation des données, l'anonymisation et/ou la pseudonymisation.
Obligations des agent·e·s et des autres membres du Secrétariat
Les agent·e·s et les autres membres du Secrétariat doivent :
11.1 traiter toute donnée personnelle avec le plus grand soin ;
11.2 s'abstenir de tout traitement de données à caractère personnel qui n'est pas nécessaire, licite et approprié au regard de leurs devoirs professionnels, du présent Règlement et de ses instruments d'application ;
11.3 demander l'avis du·de la délégué·e à la protection des données, dans des délais appropriés, lorsque le présent Règlement ou les arrêtés, procédures et lignes directrices qui y sont relatives l'exigent ; et agir en conformité avec les recommandations du·de la délégué·e à la protection des données ;
11.4 coopérer à tout moment avec le·la délégué·e à la protection des données et le·la Commissaire à la protection des données ;
11.5 identifier, à leur niveau, et informer rapidement leur supérieur hiérarchique et le·la délégué·e à la protection des données de toute circonstance pouvant entraîner des risques pour la protection des données à caractère personnel.
Article 12
Transfert de données à caractère personnel en dehors de l'Organisation
12.1 Le transfert de données à caractère personnel en dehors de l'Organisation à un destinataire relevant de la juridiction d’un État ou à une autre organisation internationale ne peut avoir lieu que si le·la Secrétaire Général·e, après consultation du·de la Commissaire à la protection des données, constate qu’un niveau de protection équivalent à celui du présent Règlement, qui est fondé sur les dispositions de la Convention modernisée pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (« Convention 108+ »), est assuré.
12.2 Un tel niveau de protection peut être assuré par :
12.2.1 le droit de l'État ou de l'organisation internationale, y compris les traités ou accords internationaux applicables, en particulier le fait d'être partie à la Convention 108+ et d'en appliquer effectivement les dispositions ;
12.2.2 des garanties standardisées ou ad hoc, approuvées par le·la Commissaire à la protection des données, établies par des instruments juridiquement contraignants et opposables, adoptés et mis en œuvre par les personnes impliquées dans le transfert et le traitement ultérieur des données, y compris des clauses contractuelles types et des dispositions à intégrer dans les arrangements administratifs conclus avec des autorités ou des organismes publics.
12.3 Nonobstant les dispositions des paragraphes précédents, le transfert de données à caractère personnel peut avoir lieu si :
12.3.1 la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques encourus en l'absence de garanties appropriées, ou
12.3.2 les intérêts spécifiques de la personne concernée l'exigent dans un cas particulier, par exemple pour protéger ses intérêts vitaux, ou lorsqu'elle est physiquement ou juridiquement incapable de donner son consentement, ou
12.3.3 des intérêts légitimes prépondérants, notamment des intérêts publics importants, exigent un tel transfert, à condition que celui-ci constitue une mesure nécessaire et proportionnée dans une société démocratique, ou
12.3.4 le transfert est nécessaire à la constatation, à l'exercice ou à la défense d’un droit en justice.
12.4 Le·la Commissaire à la protection des données reçoit toutes les informations pertinentes concernant tout transfert de données qui fait l’objet des garanties ad hoc prévues à l’article 12.2.2 et, sur demande, concernant les transferts basés sur les dispositions 12.3.2 et 12.3.3 du présent article.
Chapitre III – Autorités consultatives et de contrôle
Article 13
Délégué·e(s) à la protection des données
13.1 Le·la Secrétaire Général·e désigne un·e ou plusieur·e·s délégué·e·s à la protection des données sur la base de leurs qualités professionnelles, de leur capacité à remplir les tâches visées à l'article 14 et, en particulier, de leurs connaissances spécialisées des normes et pratiques en matière de protection des données.
13.2 Le·la délégué·e à la protection des données peut être un·e agent·e ou exercer ses tâches sur la base d'un contrat de prestation de services. Les autres tâches professionnelles du·de la délégué·e à la protection des données doivent être compatibles avec ses fonctions de délégué·e à la protection des données et ne doivent pas donner lieu à un conflit d'intérêts.
13.3 L'Organisation publie les coordonnées du·de la délégué·e à la protection des données et les communique au·à la Commissaire à la protection des données.
13.4 Le·la Secrétaire Général·e veille à ce que le·la délégué·e à la protection des données:
13.4.1 jouisse d'une large visibilité au sein du Secrétariat ;
13.4.2 exerce ses tâches de manière indépendante, ne reçoive aucune instruction dans l'exercice de ses fonctions, et ne soit pas licencié·e ou sanctionné·e en raison de l'accomplissement de ses tâches ;
13.4.3 dans l'exercice de ses fonctions, qu’il·elle ait un accès direct au plus haut niveau de gestion de l'Organisation ;
13.4.4 soit doté·e des ressources nécessaires à l'exécution de ses tâches et à l'accès aux données à caractère personnel et aux opérations de traitement.
Article 14
Tâches du·de la délégué·e à la protection des données
14.1 Le·la délégué·e à la protection des données est impliqué·e, de manière appropriée et en temps utile, dans toutes les questions relatives à la protection des données à caractère personnel.
14.2 Le·la délégué·e à la protection des données est chargé·e des tâches suivantes :
14.2.1 informer et conseiller les responsables du traitement, les sous-traitants et les personnes concernées sur leurs droits et obligations en vertu du présent Règlement et conserver des registres de ces communications ;
14.2.2 veiller à ce que les personnes concernées soient informées de leurs droits et obligations en vertu du présent Règlement ;
14.2.3 conseiller sur la mise en œuvre, l'interprétation et l'application du présent Règlement, en particulier en ce qui concerne les exigences liées à la transparence, à l'exercice effectif des droits des personnes concernées et à la sécurité du traitement de données à caractère personnel ;
14.2.4 conseiller sur l'adoption et la mise en œuvre du cadre juridique de l'Organisation en matière de protection des données à caractère personnel ;
14.2.5 identifier et évaluer les opérations de traitement de données de l'Organisation et en conserver les registres ;
14.2.6 contrôler la documentation, la notification et la communication des violations de données à caractère personnel conformément à l'article 6.3 ;
14.2.7 fournir conseil et assistance afin de permettre aux responsables du traitement de respecter les obligations prévues à l'article 9.2 ;
14.2.8 agir en tant que point de contact et coopérer avec le·la Commissaire à la protection des données sur les questions liées au traitement de données à caractère personnel, et contrôler et coordonner la réponse aux demandes de ce·cette dernier·ère ;
14.2.9 conseiller sur le traitement de données à caractère personnel visé à l'article 9.4 ;
14.2.10 promouvoir la sensibilisation, au sein de l'Organisation, aux principes de protection des données, tels que les droits des personnes concernées et les obligations en matière de traitement des données à caractère personnel.
Article 15
Commissaire à la protection des données
15.1 Le·la Commissaire à la protection des données est une autorité de contrôle indépendante qui veille à la conformité des traitements de données à caractère personnel effectués par l'Organisation avec les dispositions du présent Règlement. Le·la Commissaire à la protection des données est élu·e par les représentant·e·s des États membres au sein du Comité de la Convention établi en vertu de l'article 22 de la Convention 108+, sur la base de l'expérience et de la connaissance approfondie des normes et pratiques en matière de protection des données, et des compétences requises pour exercer les fonctions prévues à l'article 16.
15.2 Le Comité de la Convention élit le·la Commissaire à la protection des données à partir d'une liste de noms établie par le·la Secrétaire Général·e du Conseil de l'Europe à la suite d'un appel public à candidatures.
15.3 Le mandat du·de la Commissaire à la protection des données est de quatre ans et peut être renouvelé une fois.
15.4 Le·la Commissaire à la protection des données agit en toute indépendance et impartialité dans l'exercice de ses fonctions et de ses pouvoirs en vertu du présent Règlement et, ce faisant, ne sollicite ni n'accepte aucune instruction.
15.5 Le·la Commissaire à la protection des données s'abstient de tout acte incompatible avec ses fonctions et ses pouvoirs et n'exerce, pendant la durée de son mandat, aucune activité professionnelle incompatible, qu'elle soit rémunérée ou non.
15.6 Les dépenses opérationnelles du·de la Commissaire à la protection des données sont prises en charge par l'Organisation conformément aux modalités établies par le Comité des Ministres.
15.7 Le·la Commissaire à la protection des données dispose d’un secrétariat adéquat lui permettant d’accomplir ses fonctions et d'exercer ses pouvoirs de manière effective.
15.8 L’Organisation apporte son appui au·à la Commissaire à la protection des données dans l’accomplissement de ses fonctions et l’exercice de ses pouvoirs.
Article 16
Fonctions et pouvoirs du·de la Commissaire à la protection des données
16.1 Le·la Commissaire à la protection des données est chargé·e des fonctions suivantes :
16.1.1 contrôler et assurer l'application des dispositions du présent Règlement ;
16.1.2 examiner les réclamations des personnes concernées relatives à une violation alléguée de leurs droits en vertu du présent Règlement et ordonner des mesures correctives si nécessaire ;
16.1.3 mener des enquêtes sur l'application du présent Règlement, soit de sa propre initiative, soit dans le cadre de l’examen de la réclamation d'une personne concernée ;
16.1.4 formuler des avis à la demande du·de la délégué·e à la protection des données ou d'un·e responsable du traitement sur toute question relative à la mise en œuvre du présent Règlement ;
16.1.5 faire des recommandations à un responsable du traitement qui rendra compte ensuite au·à la Commissaire de leur mise en œuvre ;
16.1.6 coopérer avec les autorités nationales ou internationales de protection des données ou avec les autorités de protection des données d'organisations internationales dans la mesure nécessaire à l’accomplissement de ses fonctions et à l'exercice de ses pouvoirs.
16.1.7 sur demande, participer aux travaux du Comité de la Convention 108 établi en vertu de l’article 22 de la Convention 108+ ainsi qu’aux travaux d’autres comités conventionnels ou comités intergouvernementaux.
16.2 Le·la Commissaire à la protection des données a le pouvoir de :
16.2.1 avoir accès et demander à l'Organisation de lui donner accès à toutes les données personnelles et à toutes les informations nécessaires à l’accomplissement de ses fonctions et à l'exercice de ses pouvoirs ;
16.2.2 accéder aux locaux de l'Organisation, y compris à tout équipement et moyens de traitement des données, lorsqu'il existe des motifs raisonnables de présumer qu'une activité couverte par le présent Règlement y est exercée ;
16.2.3 imposer une limitation temporaire ou définitive au traitement de certaines données ;
16.2.4 ordonner que les traitements soient mis en conformité avec les dispositions du présent Règlement, notamment en rectifiant, effaçant ou détruisant toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent Règlement ;
16.2.5 ordonner à l’Organisation de faire droit aux demandes de la personne concernée dans l’exercice de ses droits en vertu du présent Règlement ;
16.2.6 ordonner à l’Organisation de notifier à la personne concernée une violation de ses données personnelles ;
16.2.7 ordonner que les destinataires des données à caractère personnel divulguées soient informé·e·s de la rectification ou de l'effacement de ces données par l'Organisation conformément à l’article 8.4.
Article 17
Rapport d'activité
17.1 Le·la Commissaire à la protection des données prépare et publie un rapport annuel décrivant ses activités.
17.2 Le rapport est présenté pour information au Comité de la Convention établi en vertu de l'article 22 de la Convention 108+ ; il est transmis au·à la Secrétaire Général·e ; et il est rendu public.
Section IV – Voies de recours et sanction
Article 18
Réclamations et recours
18.1 Toute personne concernée peut déposer une réclamation auprès du·de la Commissaire à la protection des données si elle estime que ses droits au titre du présent Règlement ont été violés.
18.2 La réclamation n'a pas d'effet suspensif sur le(s) traitement(s) de données faisant l'objet de la réclamation. Elle n'a pas non plus d'effet suspensif sur les activités d'enquête ou autres activités menées dans le cadre défini par le Statut du personnel ou d'autres instruments faisant partie du cadre juridique interne.
18.3 Dans un délai raisonnable à compter de la réception d'une réclamation, et au plus tard deux mois après la date de sa réception, le·la Commissaire à la protection des données transmet au·à la Secrétaire Général·e ses conclusions motivées. Les conclusions peuvent comprendre l’imposition de toute mesure corrective prévue à l’article 16.2. Le délai de deux mois peut être prolongé dans les cas où des informations supplémentaires sont requises de la part de la personne concernée sur la réclamation reçue.
18.4 Les conclusions du·de la Commissaire à la protection des données sont définitives et contraignantes. Le·la Secrétaire Général·e prend une décision conformément aux conclusions du·de la Commissaire à la protection des données et notifie cette décision, ainsi que les conclusions du·de la Commissaire à la protection des données, à la personne concernée ayant soumis la réclamation. Le·la Secrétaire Général·e peut décider d’accorder des dommages et intérêts dans des cas justifiés.
18.5 Les membres du personnel, les ancien·ne·s membres du personnel, les ayants droit des membres du personnel ou des ancien·ne·s membres du personnel, les candidat·e·s à un emploi peuvent introduire un recours contre la décision du·de la Secrétaire Général·e devant le Tribunal administratif du Conseil de l’Europe conformément à l’article 14.5 du Statut du personnel.
18.6 En cas de litige résultant d'une décision du·de la Secrétaire Général·e prise conformément à l'article 18.4 à l'égard d'une personne concernée autre qu'un·e membre du personnel, un·e ancien·ne membre du personnel, un·e ayant droit ou un·e candidat·e à un emploi, un Règlement amiable doit être recherché. Si aucun Règlement amiable ne peut être obtenu dans un délai de trois mois, le litige sera réglé par un arbitrage définitif et contraignant conformément au Règlement facultatif d'arbitrage entre les organisations internationales et les parties privées de la Cour permanente d'arbitrage en vigueur à la date de réception de la réclamation. L'autorité de nomination est le·la Secrétaire général·e de la Cour permanente d'arbitrage. Un·e seul·e arbitre est nommé·e. La langue de la procédure d’arbitrage est le français ou l'anglais. Le lieu de l'arbitrage est La Haye (Pays-Bas). Le droit applicable à cet arbitrage est constitué des dispositions du présent Règlement et de toute autre disposition pertinente adoptée par l'Organisation en vue de sa mise en œuvre. La sentence arbitrale est définitive et contraignante tant pour l'Organisation que pour le requérant.
Article 19
Mesures disciplinaires
Tout manquement aux obligations découlant du présent Règlement, commis volontairement ou par négligence, expose l'agent·e à une sanction disciplinaire, selon les règles et procédures prévues par le Statut du personnel.