Home

Opinion on a Notification for Prior Checking received from

1. LE CONTR LEUR EUROP EN DE LA PROTECTION DES DONNEES 7 LE TL Avis sur une notification en vue d un contr le pr alable adress e par le D l gu la protection des donn es de l Autorit europ enne de s curit des aliments concernant la gestion des cong s au sein de l EFSA Bruxelles le 1 d cembre 2009 dossier 2009 0455 1 Proc dure Par courrier lectronique re u le 9 juillet 2009 le Contr leur europ en de la protection des donn es a re u une notification au sens de l article 27 du r glement CE n 45 2001 du D l gu la Protection des donn es DPD de l Autorit europ enne de s curit des aliments EFSA concernant la gestion des cong s au sein de celle ci dossier 2009 0455 ci apr s d nomm e la notification cette notification taient annex s les documents suivants annexe 1 R gles consolid es en mati re de cong s et de conditions de travail annexe 2 Foire aux questions concernant les cong s et les conditions de travail annexe 3 Notification du DPD relative la gestion des cong s au sein de l EFSA annexe 4 Notification du DPD relative au syst me d enregistrement du temps Flexitime Par ailleurs le DPD a adress le 17 juillet outre les versions en format Word des documents susmentionn s un document suppl mentaire savoir le manuel technique d utilisation du syst me de gestion informatis e des demandes de cong Les 14 et 17 septe
2. CE n 45 2001 accorde le droit de rectification la personne concern e Outre le droit d acc s ses donn es personnelles celle ci dispose galement de celui de les faire modifier si n cessaire Bien que le droit d acc s soit garanti 1l reste des incertitudes sur la mesure dans laquelle le droit de rectification est accord l agent et aux membres de sa famille cet gard le responsable du traitement devrait veiller une application compl te de l article 14 du r glement CE n 45 2001 3 9 Information fournie aux personnes concern es Le r glement CE n 45 2001 pr voit aux articles 11 et 12 que la personne concern e doit tre inform e lorsqu il y a traitement de ses donn es personnelles et num re une s rie de mentions obligatoires dans cette information Ces dispositions s appliquent dans le cas pr sent car l information est recueillie aupr s de la personne concern e et de diff rents intervenants dans le processus Les agents sont inform s de diff rentes mani res dans sa partie VI le document sur les r gles consolid es en mati re de cong s et de conditions de travail consultable sur l intranet de l EFSA contient une note particuli re sur le traitement des donn es caract re personnel dans le cadre de la gestion des cong s Les diff rents l ments d information fournir en application de l article 11 y sont mentionn s En outre l unit RH veille diffuser r guli rement aupr s
3. Fax 02 283 19 50 envoy avec les observations Il traite des nouvelles dispositions applicables aux experts nationaux d tach s 2 Les faits Les op rations de traitement portent sur la gestion de tous les droits relatifs aux cong s annuels aux cong s sp ciaux aux cong s de maladie et d une mani re g n rale toutes les conditions de travail y aff rentes des fonctionnaires agents temporaires agents contractuels et experts nationaux d tach s au sein de l EFSA Le but vis est d assurer l application du Statut du personnel et des dispositions d application en mati re de cong s et de conditions de travail au sein de l EFSA notamment celles relatives aux absences pour cause de maladie ou d accident ainsi que de fournir une assistance administrative interne En outre la notification traite galement du syst me Flexitime Le syst me d enregistrement du temps Flexitime s inscrit en partie dans le cadre des traitements relevant de la gestion globale des cong s au sein de l EFSA Cela peut se d duire des r gles consolid es en mati re de cong s ainsi que du fait que les flexileave sont enregistr s dans la base de donn es Centurio de l unit Ressources humaines RH au m me titre que d autres types de cong Une notification distincte adress e au DPD en 2008 propos du syst me d enregistrement du temps Flexitime est pr sent incluse dans la notification actuelle Les conditions de travail au
4. alable La proc dure suivie l EFSA en mati re de cong s telle que d crite dans la notification transmise par le d l gu la protection des donn es porte sur le traitement de donn es caract re personnel toute information concernant une personne identifi e ou identifiable article 2 point a du r glement CE n 45 2001 Le traitement de donn es pr sent est effectu par un organe communautaire et est mis en uvre pour l exercice d activit s relevant du champ d application du droit communautaire article 3 paragraphe 1 Ce traitement s op re principalement de mani re lectronique et automatis e seuls les documents faisant appara tre l tat de sant de la personne ou contenant des donn es m dicales ou des l ments de diagnostic de sant tant trait s sur papier L article 3 paragraphe 2 est donc applicable en l esp ce D s lors le traitement tombe sous le champ d application du r glement CE n 45 2001 L article 27 paragraphe 1 du r glement CE 45 2001 soumet un contr le pr alable du CEPD tous les traitements susceptibles de pr senter des risques particuliers au regard des droits et libert s des personnes concern es du fait de leur nature de leur port e ou de leurs finalit s Le paragraphe 2 num re les traitements susceptibles de pr senter de tels risques Les traitements de donn es relatives la sant vis s l article 27 paragraphe 2 point a font partie de c
5. d un traitement par une institution ou un organe communautaire Le num ro personnel d un agent peut tre recueilli dans le cadre du traitement d une demande de cong Le CEPD estime que cet usage est justifi car le num ro personnel identifie l agent et facilite le lien avec le bon dossier Il n y a pas de motif d tablir d autres conditions dans le cas en question 3 8 Droit d acc s et de rectification L article 13 du r glement CE n 45 2001 pr voit le droit d acc s la demande de la personne concern e par le traitement et il en fixe les modalit s En application de l article 13 du r glement la personne concern e a le droit d obtenir sans contrainte du responsable du traitement la communication sous une forme intelligible des donn es faisant l objet des traitements ainsi que de toute information disponible sur l origine de ces donn es 12 Le droit d acc s en rapport avec la gestion des cong s de maladie est pr vu pour les agents de l EFSA ainsi que pour les membres de leur famille Comme expliqu ci dessus tous les agents ont acc s au premier niveau du syst me de gestion informatis e des cong s afin d y introduire une demande de cong Les agents peuvent soumettre des demandes l unit RH et consulter leurs donn es individuelles concernant leur solde de jours de cong et leurs droits cong au moyen d un outil de cr ation de rapports de la soci t Business Objects L article 14 du r glement
6. de tout le personnel des informations et de nouveaux documents d assistance administrative sur des sujets pr cis ainsi qu organiser des s ances d explication et de formation consacr es la notion de droits cong s ainsi qu aux outils lectroniques mis en uvre et aux m thodes de gestion appliqu es L ensemble du personnel peut galement prendre connaissance du document Foire aux questions Le CEPD est d avis qu au titre de bonnes pratiques une question suppl mentaire pourrait y figurer afin de fournir des informations propos du traitement des donn es caract re personnel des agents 3 10 Mesures de s curit Conform ment l article 22 du r glement CE n 45 2001 relatif la s curit des traitements le responsable du traitement met en uvre les mesures techniques et organisationnelles appropri es pour assurer un niveau de s curit appropri au regard des risques pr sent s par le traitement et de la nature des donn es caract re personnel prot ger Le CEPD a demand un compl ment d informations concernant les aspects du traitement li s la s curit Cela se justifiait par la n cessit d assurer un niveau de s curit appropri pour le traitement des donn es de sant l EFSA L Le CEPD a analys les documents fournis et consid re que sur la base des informations obtenues dans le cadre de la notification l article 22 est respect 13 Conclusion Le traitement
7. direct de la personne concern e et son chef d unit les directeurs le directeur ex cutif l unit RH le m decin conseil de l EFSA un m decin ind pendant la commission d invalidit l unit TI les organes d audit y compris l auditeur interne de l EFSA le service d audit interne la Cour des comptes europ enne le M diateur europ en le Tribunal de la fonction publique le CEPD et des membres de l unit Finances charg s de v rifier les cong s annuels en rapport avec les ordres de mission Le traitement doit donc tre examin la lumi re de l article 7 paragraphe 1 du r glement CE n 45 2001 qui ne concerne les transferts de donn es caract re personnel entre institutions ou organes communautaires ou en leur sein que si elles sont n cessaires l ex cution l gitime de missions relevant de la comp tence du destinataire Dans la plupart des cas ce transfert est jug n cessaire pour l approbation des demandes de cong et l enregistrement de ces demandes Le CEPD nourrit quelques doutes en ce qui concerne le transfert de ces donn es aux directeurs et au directeur ex cutif dans le cadre de la bonne application du r gime de cong s Ces transferts ne peuvent tre requis que lorsqu il s agit de d cider si l absence est justifi e ou non et d en tirer d ventuelles conclusions sur le plan administratif ou disciplinaire mais pas dans tous les cas o l intervention du gestionnaire direct ou du chef d unit e
8. un nombre restreint d agents de l unit TI peut avoir acc s des fins de maintenance du syst me l int gralit du syst me de gestion informatis e l EFSA le traitement uniquement sur papier des donn es m dicales et d l ments diagnostic de sant au sens strict implique exclusivement la personne concern e et le m decin conseil de l EFSA Par contre d autres op rateurs interviennent dans le traitement de documents administratifs contenant des donn es caract re personnel ayant trait l tat de sant de la personne La notification fournit la liste ci apr s des personnes destinataires des donn es le gestionnaire direct de la personne concern e et son chef d unit les directeurs le directeur ex cutif l unit RH le m decin conseil de l EFSA un m decin ind pendant la commission d invalidit l unit TI soutien des syst mes de gestion lectronique les organes d audit y compris l auditeur interne de l EFSA le service d audit interne la Cour des comptes europ enne le M diateur europ en le Tribunal de la fonction publique et le CEPD Il y est galement affirm explicitement qu il convient d y ajouter aussi des membres de l unit Finances charg s de v rifier les cong s annuels en rapport avec les ordres de mission Dans ses observations finales le responsable du traitement soulignait que l accord de la hi rarchie est n cessaire et sollicit uniquement dans le cas de demandes de cong
9. anagement dossier 2007 0063 et Mise en oeuvre du Flexitime sp cifique la DG INFSO dossier 2007 218 tous deux disponibles sur le site web du CEPD soient pleinement prises en compte et que les op rations de traitement soient modifi es en cons quence La notification du D l gu la protection des donn es de l EFSA a t re ue le 9 juillet 2009 Conform ment l article 27 paragraphe 4 du r glement le Contr leur europ en de la protection des donn es aurait d rendre son avis dans un d lai de deux mois Toutefois compte tenu des 52 jours de suspension du dossier auxquels s ajoute la pause du mois d ao t le CEPD devait rendre son avis au plus tard le 3 d cembre 2009 3 2 Lic it du traitement Il convient d examiner la lic it du traitement la lumi re de l article 5 point a du r glement CE n 45 2001 Cet article pr voit que le traitement ne peut tre effectu que si le traitement est n cessaire l ex cution d une mission effectu e dans l int r t public sur la base des trait s instituant les Communaut s europ ennes ou relevant de l exercice l gitime de l autorit publique dont est investie l institution Le consid rant 27 du r glement pr voit par ailleurs que le traitement de donn es caract re personnel effectu pour l ex cution de mission d int r t public par les institutions et organes comprend le traitement de donn es caract re personnel n cessaires pour la
10. ats m dicaux ne comportant aucune indication sur le diagnostic m dical et joints au formulaire lectronique de demande de cong seront galement conserv s sur le serveur de l EFSA Ces donn es sont conserv es pendant trois ans puis encore pendant deux ans sur cd rom dans les archives de l EFSA Elles sont limin es au bout de cinq ans Les demandes de cong parental ou familial sont conserv es pendant deux ann es apr s l ch ance du droit cong avant d tre limin es Les demandes de CCP ou de travail temps partiel ne sont limin es qu apr s le d c s de l agent et la fin du paiement d une pension ses descendants Les documents ou certificats contenant une mention relative des donn es m dicales ou un diagnostic m dical sont conserv s dans le dossier m dical de l agent qui est tenu par le m decin conseil de l EFSA Ce dossier m dical est remis l agent lorsqu il quitte l EFSA ce stade l agent peut choisir de faire transmettre son dossier m dical par le m decin conseil de l EFSA directement son nouveau lieu d affectation Si l agent a pass son examen m dical d embauchage au centre m dial de la Commission europ enne Bruxelles l EFSA est tenue d y retourner le dossier m dical Les pi ces justificatives concernant les membres de la famille de l agent ne sont conserv es que jusqu leur validation par le personnel de l unit RH et ou par le m decin conseil de l EFSA Apr s cette
11. ci disposent pr sent des m mes droits cong s que les autres cat gories d agents de l EFSA Cat gories de donn es trait es 1 l identification de la personne concern e 2 en ce qui concerne les agents de l EFSA a emploi principal et carri re au sein de l EFSA date de prise de fonction l EFSA cat gorie et grade ann es de service cessation du contrat avec l EFSA lieu d origine et nationalit b pi ces justificatives pour les diff rentes cat gories de cong informations relatives au transfert de cong s annuels non pris l ann e pr c dente informations concernant les missions effectu es c informations relatives la situation familiale de l agent de l EFSA notamment ses liens de parent avec les membres de sa famille 3 cat gories particuli res de donn es caract re personnel au sens de l article 10 paragraphe 2 du r glement CE n 45 2001 notamment a donn es relatives la sant telles que certificats m dicaux confirmation de traitements ou de rendez vous m dicaux donn es m dicales et l ments de diagnostic de sant de l agent de l EFSA et des membres de sa famille notamment le conjoint les enfants et les ascendants b informations concernant l appartenance un syndicat une ventuelle nomination politique ou la participation aux lections du Comit du personnel de l EFSA c indirectement donn es laissant appara tre la vie sexuelle le traitement de certain
12. de l article 33 R clamations du personnel des Communaut s ou sur base de l article 47 paragraphe 2 point a le CEPD dispose du droit d obtenir du responsable du traitement ou de l institution ou organe communautaire l acc s toutes les donn es caract re personnel et toutes les informations n cessaires ses enqu tes 11 Toutefois les donn es caract re personnel ne devraient tre transf r es que si ce transfert est strictement n cessaire l ex cution l gitime des missions relevant de la comp tence du destinataire Cela est particuli rement important en ce qui concerne le transfert de rapports m dicaux Comme expliqu dans la partie Les faits en cas de cong de maladie de longue dur e un m decin ind pendant aurait acc s aux donn es m dicales de l agent concernant les p riodes pr cises de cong de maladie pour lui permettre de s assurer du bien tre de l agent et de v rifier que l absence se justifie cette fin l EFSA est actuellement li e par un accord de niveau de service ANS avec le Service m dical Bruxelles Par cons quent seul l article 7 s appliquerait dans ce cas annexe II de l ANS Toutefois en cas d arbitrage annexe IL point 5 de l ANS les donn es peuvent tre communiqu es un m decin externe choisi de commun accord par le m decin contr leur et le m decin traitant ou autre m decin de l agent Si le m decin arbitre se trouve dans un des tats membres releva
13. e d j expliqu dans la partie relative aux faits plusieurs d lais de conservation ont t tablis Les demandes de cong s annuels sp ciaux de maladie ou de flexileave ainsi que les certificats m dicaux ne contenant aucune indication du diagnostic m dical joints au formulaire lectronique de demande de cong sont conserv s pendant trois ans puis encore pendant deux ans sur cd rom dans les archives de l EFSA Elles sont limin es au bout de cinq ans Le CEPD estime que les donn es relatives aux cong s pour maladie peuvent en effet tre conserv es pendant les trois premi res ann es dans la mesure o elles sont jug es n cessaires pour tablir une ventuelle invalidit conform ment l article 59 paragraphe 4 du Statut Les demandes de cong parental ou familial sont conserv es pendant deux ann es apr s l ch ance du droit cong avant d tre limin es Le cong parental ou familial n a aucune incidence sur les droits pension les cotisations continuant tre vers es pendant ce type de cong La dur e du cong parental ou familial est consign e dans la base de donn es de l unit RH lorsque la demande est accord e Pour ce qui est des CCP ou du travail temps partiel l agent peut choisir de verser au r gime de retraite des cotisations correspondant au plein temps ou au temps partiel ou de n en verser aucune C est pourquoi les demandes de CCP ou de travail temps partiel ne sont l
14. es pi ces justificatives de cong en particulier concernant dans la cat gorie des cong s sp ciaux les cong s familiaux conjoint de l agent pourrait tre consid r comme faisant appara tre indirectement l orientation sexuelle de l int ress Par ailleurs en ce qui concerne les cat gories de donn es en particulier celles de donn es sensibles le responsable du traitement a apport les pr cisions ci apr s L agent a actuellement la possibilit de joindre des pi ces justificatives sa demande de cong initiale et aussi de communiquer ces l ments d information un stade ult rieur au cas o il n en disposerait pas au moment du d p t de sa demande La pr occupation relative au traitement de donn es sensibles concernant la sant a t relev e il y a quelque temps et l EFSA est en train de finir la mise au point d un nouveau syst me de gestion informatis e des demandes de cong Celui ci permettra aux agents ayant demand un cong de maladie ou un cong sp cial avec certificat de transmettre cette demande directement l unit RH Le gestionnaire direct ne devra intervenir aucun stade de la proc dure et il sera simplement inform de l existence de la demande sans aucune indication quant la nature pr cise du cong Le projet de manuel d utilisation concernant ce nouveau syst me de gestion informatis e des demandes de cong a t transmis au CEPD Outre l quipe cong s de l unit RH seul
15. ette liste Lorsqu une absence est enregistr e il arrive que l on traite des donn es caract re personnel relatives la sant En l esp ce les donn es faisant l objet d un traitement rel vent sans le moindre doute de la cat gorie des donn es relatives la sant Pour ce qui est du syst me Flexitime le CEPD estime que le traitement en soi ne rel ve pas du champ d application de l article 27 du r glement CE n 45 2001 et qu il n est d s lors pas soumis un contr le pr alable Toutefois tant donn qu il s inscrit dans le cadre plus vaste d un traitement de donn es soumis au contr le pr alable le traitement des donn es caract re l m gt 6 personnel relatives au Flexitime est inclus dans le pr sent examen En principe le contr le effectu par le Contr leur europ en de la protection des donn es est pr alable la mise en place de la proc dure Dans le cas pr sent en raison des retards pris dans la notification au Contr leur europ en de la protection des donn es le contr le doit n cessairement s effectuer a posteriori Toutefois en l esp ce le traitement a d j t mis en place En tout tat de cause il y a lieu que toutes les recommandations formul es par le CEPD Des pr cisions ont t apport es au DPD de l EFSA apr s une consultation de sa part sur ce point r ponse en date du 10 juillet 2008 Voir galement cet gard les avis intitul s SYSPER 2 module Time M
16. fac es ou rectifi es D s lors la proc dure permet raisonnablement de penser que les donn es sont exactes et mises Jour En effet il est soulign dans la notification que les personnes concern es ont la facult d exercer leurs droits tout moment en s adressant au personnel comp tent de l unit RH et que les demandes motiv es de verrouillage ou d effacement seront trait es dans les cinq jours ouvrables L autre aspect principal permettant de garantir la qualit des donn es et de s assurer de leur exhaustivit est repr sent par le droit des personnes concern es d y avoir acc s et de les rectifier voir infra point 3 8 Enfin les donn es doivent tre trait es loyalement et licitement article 4 paragraphe 1 point a La lic it a d j fait l objet d un examen voir supra point 3 2 Quant la loyaut dans le cadre d un sujet aussi sensible elle doit faire l objet de beaucoup d attention Elle est li e aux informations qui doivent tre transmises la personne concern e voir infra point 3 9 3 5 Conservation des donn es L article 4 paragraphe 1 point e du r glement CE n 45 2001 pose le principe que les donn es doivent tre conserv es sous une forme permettant l identification des personnes concern es pendant une dur e n exc dant pas celle n cessaire la r alisation des finalit s pour lesquelles elles sont collect es ou pour lesquelles elles sont trait es ult rieurement Comm
17. gestion et le fonctionnement de ces institutions et organes Le Statut du personnel les dispositions d application et les informations administratives des Communaut s europ ennes ainsi que les r gles internes adopt es par l EFSA d finissent les modalit s de mise en uvre de la disposition relative aux absences et aux cong s Par exemple le contr le des absences pour maladie se fait non seulement sur la base du Statut des fonctionnaires mais aussi dans le cadre de la gestion et du fonctionnement de l agence tels qu adopt s en application des trait s Le CEPD note que le traitement des donn es caract re personnel en rapport avec la gestion des cong s est consid r comme n cessaire pour permettre l EFSA de remplir ses obligations l gard du personnel comme pr vu par le statut des Communaut s europ ennes ainsi que les actes juridiques adopt s sur cette base comme les r gles consolid es en mati re de cong s et de conditions de travail et qu il s av re d s lors licite conform ment l article 5 point a du r glement CE n 45 2001 3 3 Traitement portant sur des cat gories particuli res de donn es L article 10 du r glement pr voit que le traitement de donn es caract re personnel relatives des cat gories particuli res de donn es est interdit moins qu il ne soit justifi par des motifs vis s l article 10 paragraphes 2 et 3 du r glement CE n 45 2001 L article 10 para
18. graphe 2 point b s applique en l esp ce le paragraphe 1 interdiction du traitement des donn es relatives la sant ne s applique pas lorsque le traitement est n cessaire afin de respecter les obligations et les droits sp cifiques du responsable du traitement en mati re du droit du travail dans la mesure o il est autoris par les trait s instituant les Communaut s europ ennes ou d autres actes l gislatifs adopt s sur la base de ces trait s En effet 1l est pr cis dans la notification que le traitement porte sur les donn es relatives la sant telles que les certificats m dicaux les confirmations de traitements ou de rendez vous m dicaux les donn es m dicales et les l ments de diagnostic de sant de l agent de l EFSA et des membres de sa famille notamment le conjoint les enfants et les ascendants cet gard il est important de souligner que l article 10 paragraphe 3 pr voit que ce traitement de donn es n est autoris que s il est effectu par un praticien de la sant soumis au secret professionnel ou par une autre personne galement soumise une obligation de secret quivalente ce qui est le cas ici Par ailleurs les informations concernant l appartenance un syndicat une ventuelle nomination politique ou la participation aux lections du Comit du personnel de l EFSA peuvent galement faire l objet d un traitement Enfin des donn es susceptibles de r v ler indirecteme
19. ificatives sont supprim es si possible lorsqu elles ne sont pas n cessaires aux fins de la d charge budg taire du contr le et de l audit L article 4 paragraphe 1 point e du r glement pr voit que les donn es peuvent tre conserv es pour une p riode allant au del de celle n cessaire la finalit pour laquelle elles ont t collect es et notamment des fins statistiques si elles sont conserv es sous une forme anonyme ou si cela est impossible condition que l identit de la personne soit crypt e Les donn es ne doivent en tout cas pas tre utilis es d autres fins qu historiques statistiques ou scientifiques Lu conjointement aux articles 16 58 et 91 du r gime applicable aux autres agents des Communaut s europ ennes voir avis du CEPD du 26 f vrier 2007 relatif aux d lais de conservation des documents m dicaux 10 D apr s la notification il est fait recours l outil de cr ation de rapports de la soci t Business Objects pour tablir diff rents rapports partir du module cong s de Centurio notamment des statistiques relatives aux cong s de maladie et aux cong s sp ciaux la lumi re du point pr c dent le CEPD souligne que l EFSA devrait s assurer que les donn es statistiques trait es sont effectivement anonymes et ne laissent pas appara tre d informations concernant des individus en particulier 3 6 Transfert des donn es Sont destinataires des donn es le gestionnaire
20. imin es qu au d c s de l agent et la fin du paiement de la pension ses descendants Le CEPD marque son accord sur ces d lais de conservation Les documents ou certificats contenant une mention relative des donn es m dicales ou un diagnostic m dical sont conserv s dans le dossier m dical de l agent qui est tenu par le m decin conseil de l EFSA Ce dossier m dical est remis l agent lorsqu il quitte l EFSA ce stade l agent peut choisir de faire transmettre son dossier m dical par le m decin conseil de l EFSA directement son nouveau lieu d affectation Si l agent a pass son examen m dical d embauchage au centre m dial de la Commission europ enne Bruxelles l EFSA est tenue d y retourner le dossier m dical Les pi ces justificatives concernant les membres de la famille de l agent ne sont conserv es que jusqu leur validation par le personnel de l unit RH et ou par le m decin conseil de l EFSA Apr s cette validation elles sont rendues l agent concern Compte tenu des d lais de conservation pr vus le CEPD n a pas d observations formuler concernant les d lais de conservation fix s par le responsable du traitement En ce qui concerne les autres d lais de conservation le CEPD tient attirer l attention de l EFSA sur le dernier paragraphe de l article 49 des modalit s d ex cution du r glement financier selon lequel les donn es caract re personnel contenues dans les pi ces just
21. le gestionnaire direct de l agent et ou l unit RH en fonction du type de cong la demande figurant sur le formulaire sera automatiquement charg e dans la base de donn es de l unit RH Le module Cong s de la base de donn es de l unit RH sert g rer le nombre de jours attribu s aux agents et tenir un bilan actualis des journ es prises Les conditions de travail des fonctionnaires appliqu es par analogie avec celles des autres agents des Communaut s europ ennes sont d finies aux titres III et IV du Statut du personnel R gles consolid es en mati re de cong s et de conditions de travail Le traitement s effectue essentiellement de mani re lectronique et automatis e Le syst me de gestion informatis e des cong s est utilis pour effectuer des demandes de cong s annuels sp ciaux de maladie et de flexileave La demande de cong introduite par l agent est transmise au gestionnaire direct qui l approuve ou la rejette En cas de rejet elle est renvoy e l agent ventuellement assortie d une motivation ajout e dans la case des observations Si elle est approuv e par le gestionnaire direct la demande de cong est transmise pour validation l quipe cong s de l unit RH D s qu elles sont accept es par cette derni re les demandes de cong sont automatiquement confirm es dans la base de donn es Centurio de l unit RH Dans le nouveau syst me de gestion informatis e la demande de cong s annue
22. ls ne sera adress e qu au gestionnaire direct et sera ensuite confirm e directement dans la base de donn es Certaines phases du traitement s effectuent manuellement C est ainsi que les demandes de cong parental ou familial de CCP de travail temps partiel les demandes de passer le cong de maladie hors du lieu d affectation ou celles d examens ou de visite m dicale hors du lieu d affectation sont transmises via un formulaire papier et trait es manuellement La demande est introduite par l agent et transmise l unit RH pour validation Une fois qu elles ont t valid es les demandes de cong parental ou familial de CCP ou de travail temps partiel suivent le chemin n cessaire avant de parvenir au directeur ex cutif pour d cision finale Pour ce qui est des demandes de cong de maladie hors du lieu d affectation ou d examens ou de visite m dicale hors du lieu d affectation les dossiers sont adress s directement au m decin conseil de l EFSA pour avis apr s avoir t valid es par l unit RH Lors de la validation et en fonction du motif de la demande l agent peut tre invit fournir des pi ces justificatives de nature personnelle ou m dicale Si parmi ces informations figurent des renvois des donn es m dicales diagnostic de sant de l agent ou d un membre de sa famille elles sont directement adress es au m decin conseil de l EFSA dans une enveloppe scell e et marqu e confidentiel La gestion de
23. mbre 2009 dans le cadre de l analyse une s rie de questions ont t pos es au responsable du traitement par l interm diaire du DPD Les premi res r ponses ont t fournies le 17 septembre accompagn es d une copie de la convention sign e avec le m decin conseil et ensuite le 21 octobre 2009 Ce jour l le CEPD a re u les documents suivants annexe 1 Rapport d audit interne sur les technologies de l information TI faisant suite l valuation du risque en mati re de TI au sein de l EFSA labor e par Deloitte annexe 2 Rapport d audit interne sur les TI plan d action et rapport sur l tat d avancement des travaux annexe 3 Manuel d utilisation de ce nouveau syst me de gestion informatis e des demandes de cong projet pour information annexe 4 Mod le de d claration de confidentialit annexe 5 Types de cong s et informations communiqu es Le 10 novembre 2009 le dossier a t laiss en suspens une nouvelle fois pour une demande d informations pour laquelle les r ponses ont t re ues le 17 novembre 2009 Le dossier a t nouveau laiss en suspens le 23 novembre 2009 dans l attente des observations du DPD sur le projet d avis qui ont t transmises le 30 novembre 2009 Un document compl mentaire a t Adresse postale rue Wiertz 60 B 1047 Bruxelles Bureaux rue Montoyer 63 E mail edps edps europa eu Site Internet www edps europa eu T l 02 283 19 00
24. nt de la directive 9546 CE l article 8 du r glement est d application En principe en vertu de l article 8 point b il appartient au destinataire de d montrer la n cessit du transfert et il ne peut y avoir aucune raison de penser que ce transfert pourrait porter atteinte aux int r ts l gitimes de la personne concern e Dans le cas pr sent le destinataire n aurait aucune peine d montrer la n cessit du transfert puisque ces donn es sont n cessaires afin qu il puisse statuer sur le cas contest Par ailleurs ce transfert ne nuit aucunement aux int r ts l gitimes de la personne concern e puisqu il sert pr cis ment une proc dure d arbitrage lanc e par la personne elle m me Dans l hypoth se peu probable o le m decin arbitre se trouverait dans un pays ne relevant pas de la directive 95 46 CE l article 9 du r glement est d application En vertu de cette disposition le transfert ne peut avoir lieu que vers un pays offrant un niveau de protection ad quat Si tel n est pas le cas le consentement de la personne concern e devra tre obtenu pour ce transfert et ce en vertu de l article 9 paragraphe 6 point a 3 7 Traitement incluant le num ro personnel ou d identification L article 10 paragraphe 6 du r glement dispose que le contr leur europ en de la protection des donn es d termine les conditions dans lesquelles un num ro personnel ou tout autre identifiant utilis de mani re g n rale peut faire l objet
25. nt l orientation sexuelle font galement l objet d un traitement Le traitement de ces cat gories particuli res de donn es est n cessaire en vue de remplir les obligations l gales de l EFSA l gard de son personnel telles qu nonc es dans le statut des fonctionnaires des Communaut s europ ennes Compte tenu de ce qui pr c de le CEPD estime que le traitement de donn es caract re personnel concernant des donn es caract re personnel sensibles s effectue dans le respect de l article 10 du r glement 3 4 Qualit des donn es Les donn es doivent tre ad quates pertinentes et non excessives au regard des finalit s pour lesquelles elles sont collect es et pour lesquelles elles sont trait es ult rieurement article 4 paragraphe 1 point c du r glement D apr s les informations fournies dans la notification et dans les documents compl mentaires les donn es trait es aux fins de la gestion des cong s annuels et sp ciaux des cong s de maladie et des heures suppl mentaires sont ad quates pertinentes et non excessives Conform ment l article 4 paragraphe 1 point d du r glement les donn es caract re personnel doivent tre exactes et si n cessaire mises jour et toutes les mesures raisonnables sont prises pour que les donn es inexactes ou incompl tes au regard des finalit s pour lesquelles elles sont collect es ou pour lesquelles elles sont trait es ult rieurement soient ef
26. particuli res telles que les CCP les cong s parentaux et le travail temps partiel dont la transmission s op re manuellement Les directeurs n interviennent dans le traitement lectronique des demandes de cong s que lorsque celles ci manent d un chef d unit relevant de leur direction En outre le contrat entre l EFSA et son m decin conseil comporte un chapitre relatif la protection des donn es Au point 1 8 1 de ce contrat il est stipul que le r glement CE n 45 2001 s applique au traitement des donn es caract re personnel faisant l objet de celui ci Le point 1 8 2 pr cise que le contrat implique que les donn es m dicales doivent tre trait es conform ment l article 10 paragraphe 3 du r glement CE n 45 2001 Enfin le point 1 8 3 sp cifie galement qu en ce qui concerne les donn es m dicales et les l ments de diagnostic de sant le m decin conseil de l EFSA est consid r comme un responsable du traitement En ce qui concerne la conservation des donn es diff rentes dur es ont t retenues Dans la notification il est soulign que les demandes de cong s annuels sp ciaux de maladie ou de flexileave sont conserv es sous forme lectronique dans le syst me de gestion Livelink sur le serveur de l EFSA Dans le cadre du nouveau syst me de gestion informatis e ces demandes seront toujours conserv es sous forme lectronique sur les serveurs de l EFSA mais plus via Livelink Les certific
27. propos ne para t pas entra ner de violations des dispositions du r glement CE n 45 2001 pour autant qu il soit tenu compte des observations faites ci dessus Cela implique en particulier que e le responsable du traitement adapte sa notification pour tenir compte des diff rents transferts qui sont n cessaires dans le cadre de l application du syst me de cong s e le responsable du traitement applique int gralement les dispositions de l article 14 du r glement CE n 45 2001 Fait Bruxelles le 1 d cembre 2009 Sign Giovanni BUTTARELLI Contr leur europ en adjoint de la protection des donn es 14
28. que l objet du traitement de donn es la base juridique le responsable du traitement les destinataires les personnes concern es les droits d acc s et de rectification le type de donn es personnelles concern es les moyens de stockage utilis s le d lai de conservation des donn es ainsi que le droit de saisir tout moment le CEPD En outre l unit RH veille diffuser r guli rement aupr s de tout le personnel des informations et de nouveaux documents d assistance administrative sur des sujets pr cis ainsi qu organiser des s ances d explication et de formation consacr es la notion de droits cong s ainsi qu aux outils lectroniques mis en uvre et aux m thodes de gestion appliqu es L ensemble du personnel peut galement prendre connaissance du document Foire aux questions Pour ce qui est des mesures de s curit un audit externe des syst mes informatiques de l EFSA a t effectu au cours du premier semestre de 2009 L EFSA met profit les conclusions du rapport en laborant un plan d action et un rapport sur l tat d avancement des travaux En ce qui concerne la gestion de la s curit des informations l EFSA travaille en ce moment un projet de politique globale sur la s curit en s appuyant sur les lignes directrices de l UE en la mati re et tudie les modalit s d adoption des normes de s curit ISO 27001 pour ce qui est de ses principes de base 3 Les aspects l gaux 3 1 Contr le pr
29. s documents et leur parcours sont d crits en d tail dans la partie V du document d assistance administrative interne dans lequel il est pr vu que les documents de l agent contenant des donn es m dicales ou des l ments de diagnostic de sant sont conserv s dans le dossier m dical de l agent chez le m decin conseil de l EFSA Seul l avis de ce dernier peut tre consign dans les formulaires ou en pi ce jointe au dossier Cet avis ne comporte aucune r f rence des donn es m dicales en tant que telles ce n est qu un document administratif Une fois que le dossier a t compl t avec les signatures du chef d unit comp tent du directeur ou du directeur ex cutif selon les cas il est class dans le dossier personnel de l agent avec copie adress e ce dernier Les certificats m dicaux fournis par l agent seront conserv s dans son dossier m dical tandis que ceux des membres de sa famille lui seront renvoy s apr s leur validation Il existe deux cat gories principales de personnes concern es savoir le personnel de l EFSA c est dire les fonctionnaires les agents temporaires les agents contractuels et les experts nationaux d tach s selon les cat gories particuli res de cong s les membres de la famille des agents de l EFSA tels que le conjoint les enfants et les ascendants D apr s les articles 13 14 et 15 des nouvelles dispositions relatives aux experts nationaux d tach s ceux
30. s droits cong au moyen d un outil de cr ation de rapports de la soci t Business Objects Par ailleurs les documents fournis indiquent que les agents de l EFSA peuvent s adresser l quipe de gestion des cong s de l unit RH ou visualiser l cran l enregistrement de certaines absences au moyen d un outil personnalis de cr ation de rapports de Business Objects Les membres de la famille des agents de l EFSA peuvent demander acc der leurs donn es personnelles d tenues par l EFSA via l agent concern ou ils peuvent adresser une demande particuli re d acc s leurs donn es personnelles directement au responsable du traitement En outre il est bien pr cis dans la notification que les personnes concern es peuvent exercer leurs droits tout moment en s adressant au personnel comp tent de l unit RH Les demandes motiv es de verrouillage ou d effacement de donn es seront trait es dans les cinq jours ouvrables En ce qui concerne les informations fournies aux agents un document d assistance administrative interne contenant les r gles consolid es en mati re de cong s et de conditions de travail a t diffus aupr s de l ensemble du personnel en juin 2009 et est consultable sur l intranet de l EFSA La partie VI de ce document contient une note particuli re sur le traitement des donn es caract re personnel dans le cadre de la gestion des cong s dans laquelle sont fournis des l ments de r f rence tels
31. sein de l EFSA sont fond es sur les bases juridiques suivantes le Statut du personnel les dispositions d application et les informations administratives des Communaut s europ ennes ainsi que les r gles internes adopt es par l EFSA Le responsable du traitement consid re que ce dernier est une op ration relevant du mandat de l EFSA Les conditions de travail des fonctionnaires appliqu es par analogie avec celles des autres agents des Communaut s europ ennes sont d finies aux titres II et IV du Statut du personnel non ant les dispositions d application concernant les cong s et celles relatives aux absences pour cause de maladie ou d accident Au cours des changes avec le responsable du traitement il a galement t soulign qu un nouveau syst me de gestion informatis e est en cours de d veloppement l EFSA Ce nouveau syst me remplacera prochainement Livelink qui est toujours en service actuellement Dans le cadre de ce nouveau syst me de gestion informatis e les agents devront obtenir une autorisation pr alable avant de pouvoir demander un cong annuel un cong sp cial un cong de maladie ou un flexileave Pour automatiser ce processus les utilisateurs doivent remplir un formulaire de demande de cong qui se trouve pr sent sur le portail intranet extranet Le syst me de gestion informatis e se chargera ensuite d acheminer ce formulaire vers le gestionnaire et l unit RH Une fois approuv e par
32. st subdivis e en modules auxquels ne peuvent acc der que les agents de l unit RH travaillant dans le domaine couvert par le module concern c est ainsi que le module Cong s n est accessible qu au personnel comp tent de l unit RH 2 les demandes de cong lectroniques et les pi ces justificatives s y rapportant sont conserv es dans le syst me de gestion informatis e des cong s dans l application Livelink sur le serveur de l EFSA A l avenir ces documents seront conserv s sous forme lectronique ailleurs que dans Livelink Il demeureront actifs c est dire que des modifications pourront y tre apport es la demande jusqu 45 jours apr s la date du cong ce qui permettra par exemple de convertir celui ci en flexileave ou en cong sp cial Pass ce d lai les demandes seront archiv es Seul le personnel comp tent de l unit RH peut avoir acc s au syst me de gestion informatis e dans son ensemble 3 le syst me d enregistrement du temps Flexitime est h berg sur les serveurs de l EFSA et son acc s est subordonn l introduction d un nom d utilisateur et d un mot de passe Les droits d acc s et de rectification ci apr s sont explicit s dans la notification Tous les agents ont acc s au premier niveau du syst me de gestion informatis e des cong s afin d y introduire une demande de cong Les agents peuvent consulter leurs donn es individuelles concernant leur solde de jours de cong et leur
33. st suffisante selon les directives du Manuel d utilisation des demandes de cong Bien que la situation puisse ne pas laisser de doutes dans la pratique le CEPD demande au responsable du traitement d adapter son formulaire de notification aux cas particuliers de transfert de mani re pr ciser qui sont les destinataires et de quelles parties du traitement la lecture des documents fournis le CEPD conclut que seul un nombre restreint d agents de l unit TI peut avoir acc s des fins de maintenance du syst me l int gralit du syst me de gestion informatis e Concernant ces transferts rappelons qu il n y a lieu de transf rer que les donn es pertinentes Ce transfert est donc bien licite dans la mesure o la finalit est couverte par les comp tences des destinataires L article 7 paragraphe 1 est donc bien int gralement respect L article 7 paragraphe 3 du r glement CE n 45 2001 stipule que le destinataire traite les donn es caract re personnel uniquement aux fins qui ont motiv leur transmission Quant aux transferts dans des cas exceptionnels des tiers comme le Service juridique interne le Tribunal de la fonction publique le M diateur europ en ou le CEPD le CEPD est d avis que ces transferts sont conformes l article 7 du r glement puisqu ils peuvent tre consid r s comme n cessaires l ex cution l gitime des missions relevant de la comp tence du destinataire Par exemple sur base
34. validation elles sont rendues l agent concern En cas de cong de maladie de longue dur e un m decin ind pendant aurait acc s aux donn es m dicales de l agent concernant les p riodes pr cises de cong de maladie pour lui permettre de s assurer du bien tre de l agent et de v rifier que l absence se justifie cette fin l EFSA est actuellement li e par un accord de niveau de service avec le Service m dical Bruxelles En ce qui concerne la conservation de documents des fins historiques statistiques ou scientifiques il est fait recours l outil de cr ation de rapports de la soci t Business Objects BO pour tablir diff rents rapports partir du module cong s de Centurio notamment des statistiques relatives aux cong s de maladie et aux cong s sp ciaux Dans ses observations finales le responsable du traitement a confirm le caract re anonyme de toutes les donn es statistiques extraites des rapports BO et ou de la base de donn es de l unit RH Les seuls rapports BO contenant les donn es personnelles des personnes concern es sont ceux que ces derni res sont en mesure de g n rer Ces rapports ne sont visibles que par l agent en personne ou le gestionnaire des cong s au sein de l unit RH En ce qui concerne le stockage des donn es l EFSA applique les proc dures suivantes 1 base de donn es Centurio de l unit RH cette base de donn es est h berg e sur les serveurs de l EFSA Elle e

Opinion on a Notification for Prior Checking received from

Contents

Download Pdf Manuals

Related Search

Related Contents