欧洲联盟

RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE

DÉCISION DU CONSEIL D’ADMINISTRATION DE L’OFFICE DE L’UNION EUROPÉENNE POUR LA PROPRIÉTE INTELLECTUELLE

du 26 mars 2020

portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement de données à caractère personnel dans le cadre du fonctionnement

de l’Office de l’Union européenne pour la propriété intellectuelle

LE CONSEIL D’ADMINISTRATION,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1), et notamment son article 25,

vu le règlement (UE) 2017/1001 du Parlement européen et du Conseil du 14 juin 2017 sur la marque de l’Union européenne (2), et notamment son article 153,

vu le règlement intérieur du conseil d’administration de l’Office de l’Union européenne pour la propriété intellectuelle, et en particulier son article 9,

vu la consultation du Contrôleur européen de la protection des données, le 18 décembre 2019,

considérant ce qui suit:

(1) L’Office de l’Union européenne pour la propriété intellectuelle (l’«Office») mène ses activités conformément au règlement (UE) 2017/1001.

(2) Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, les limitations de l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dudit règlement, dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, devraient être fondées sur des règles internes à adopter par l’Office, lorsque celles-ci ne sont pas fondées sur des actes juridiques adoptés sur la base des traités.

(3) Ces règles internes, y compris les dispositions relatives à l’appréciation de la nécessité et de la proportionnalité d’une limitation, ne s’appliquent pas lorsqu’un acte juridique adopté sur la base des traités prévoit une limitation des droits des personnes concernées.

(4) Lorsque l’Office exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des dérogations établies dans ledit règlement s’applique.

(5) Dans le cadre de son fonctionnement administratif, l’Office peut être tenu de limiter les droits des personnes concernées conformément à l’article 25 du règlement (UE) 2018/1725.

(6) L’Office, représenté par son directeur exécutif, agit en qualité de responsable du traitement des données, indépendamment de toute délégation ultérieure du rôle de responsable du traitement en son sein, afin de refléter les responsabilités opérationnelles afférentes à certaines opérations spécifiques de traitement des données à caractère personnel.

(7) Les données à caractère personnel sont conservées de manière sécurisée dans un environnement électronique ou sur un support papier qui empêche leur consultation ou transfert illicite par ou à des personnes qui n’ont pas besoin d’en connaître. Les données à caractère personnel traitées sont conservées comme indiqué dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres de l’Office.

(1) JO L 295 du 21.11.2018, p. 39 (2) JO L 154 du 16.6.2017, p. 1.

FR Journal officiel de l’Union européenneL 94/46 27.3.2020CJ

(8) Ces règles internes devraient s’appliquer à toutes les opérations de traitement effectuées par l’Office dans le cadre d’enquêtes administratives, de procédures disciplinaires, de procédures de dénonciation des dysfonctionnements, de procédures (formelles et informelles) pour traiter les cas de harcèlement, du traitement de plaintes et de données médicales, de la réalisation d’audits internes, de la conduite d’enquêtes par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et de la conduite d’enquêtes de sécurité informatique réalisées en interne ou avec une participation externe (par exemple CERT-UE).

(9) Dans les cas où ces règles internes s’appliquent, l’Office doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et respectent l‘essence des libertés et droits fondamentaux.

(10) Dans ce cadre, l’Office est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit à l’information, au droit d’accès et de rectification, au droit à l’effacement, à la limitation du traitement, au droit à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications, tels que consacrés par le règlement (UE) 2018/1725.

(11) L’Office devrait vérifier régulièrement que les conditions qui justifient la limitation s’appliquent et lever la limitation dès lors que ces conditions ne s’appliquent plus.

(12) Le responsable du traitement doit informer le délégué à la protection des données de chaque limitation appliquée aux droits des personnes concernées, lorsque la limitation a été levée ou lorsqu’elle a été révisée.

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article 1

Objet et champ d’application

1. La présente décision établit les règles relatives aux conditions dans lesquelles l’Office peut, dans le cadre des opérations de traitement définies au paragraphe 2, limiter l’application des droits inscrits aux articles 4, 14 à 21, 35 et 36, du règlement (UE) 2018/1725, en vertu de son article 25.

2. Dans le cadre du fonctionnement administratif de l’Office, la présente décision s’applique au traitement de données à caractère personnel qu’il effectue aux fins suivantes: mener des enquêtes administratives, des procédures disciplinaires, des procédures de dénonciation des dysfonctionnements, des procédures (formelles et informelles) pour traiter les cas de harcèlement, traiter des plaintes, des données et/ou des dossiers médicaux, procéder à des audits internes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité informatique en interne ou avec une participation externe (par exemple CERT-UE).

La présente décision s’applique aux opérations de traitement engagées et effectuées par l’Office, y compris avant le lancement des procédures visées ci-dessus, au cours de ces procédures et pendant le suivi des mesures prises à l’issue de ces procédures. Elle s’applique aussi à l’assistance et à la coopération fournies par l’Office, en dehors de ses propres procédures administratives, à l’OLAF, aux autorités compétentes des États membres et/ou à d’autres autorités compétentes.

3. Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).

4. Lorsque l’Office exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, il examine si l’une des dérogations établies dans ledit règlement s’applique.

5. Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications électroniques.

FR Journal officiel de l’Union européenne27.3.2020 L 94/47CJ

Article 2

Spécification du responsable du traitement et garanties

1. L’Office met en place les garanties suivantes pour empêcher une utilisation abusive ou un accès ou transfert illicites:

a) les documents en version papier sont conservés dans des armoires sécurisées et ne sont accessibles qu’au personnel autorisé;

b) toutes les données électroniques sont stockées dans une application informatique sécurisée, conformément aux normes de sécurité de l’Office, ainsi que dans des dossiers électroniques spécifiques accessibles uniquement au personnel autorisé. Les niveaux d’accès appropriés sont accordés individuellement;

c) les systèmes informatiques et leurs bases de données doivent être dotés de mécanismes permettant de vérifier l’identité de l’utilisateur par le biais d’un système d’authentification unique et connecté automatiquement à l’identifiant et au mot de passe de l’utilisateur. Les comptes des utilisateurs finaux doivent être uniques, personnels et non transférables, le partage de comptes utilisateurs est strictement interdit. Les enregistrements électroniques sont conservés en toute sécurité afin de préserver la confidentialité et le caractère privé des données qu’ils contiennent;

d) toutes les personnes ayant accès aux données sont tenues de respecter l’obligation de confidentialité.

2. Le responsable des opérations de traitement est l’Office, représenté par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de l’Office.

3. La durée de conservation des données à caractère personnel visées à l’article 1, paragraphe 3, ne doit pas dépasser celle indiquée dans les avis relatifs à la protection des données, déclarations de confidentialité ou registres mentionnés à l’article 3, paragraphe 1. Au terme de la durée de conservation, les informations des dossiers, y compris les données à caractère personnel, sont supprimées, rendues anonymes ou transférées aux archives historiques.

4. Lorsque l’Office envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque d’entraver la finalité de l’opération de traitement. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.

Article 3

Limitations

1. L’Office publie sur son site web et/ou sur l’intranet, des avis relatifs à la protection des données, des déclarations de confidentialité et/ou des registres au sens de l’article 31 du règlement (UE) 2018/1725, informant toutes les personnes concernées des activités impliquant le traitement de leurs données à caractère personnel et de leurs droits dans le cadre d’une procédure donnée, y compris des informations relatives à une limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.

2. Sous réserve des dispositions du paragraphe 3, le cas échéant, l’Office veille à ce que les personnes concernées soient informées individuellement dans un format approprié. L’Office peut également les informer individuellement de leurs droits concernant des limitations actuelles ou futures.

3. Toute limitation initiée par l’Office est appliquée uniquement pour garantir les finalités énumérées à l’article 25, paragraphe 1, du règlement (UE) 2018/1725:

a) la sécurité nationale, la sécurité publique ou la défense des États membres;

b) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

c) d’autres objectifs importants d’intérêt public général de l’Union européenne ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union européenne ou un intérêt économique ou financier important de l’Union européenne ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

d) la sécurité interne des institutions et organes de l’Union européenne, notamment de leurs réseaux de communications électroniques;

FR Journal officiel de l’Union européenneL 94/48 27.3.2020CJ

e) la protection de l’indépendance de la justice et des procédures judiciaires;

f) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

g) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à c);

h) la protection de la personne concernée ou des droits et libertés d’autrui;

i) l’exécution des demandes de droit civil.

4. En particulier, lorsque l’Office applique des limitations dans le cadre:

a) d’enquêtes administratives et de procédures disciplinaires, les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), e), g), h) du règlement (UE) 2018/1725;

b) de procédures de dénonciation des dysfonctionnements, les limitations peuvent être fondées sur l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725;

c) de procédures (formelles et informelles) pour traiter des cas de harcèlement, les limitations peuvent être fondées sur l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725;

d) du traitement de plaintes, les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), e), g), h) du règlement (UE) 2018/1725;

e) du traitement de données médicales, les limitations peuvent être fondées sur l’article 25, paragraphe 1, point h), du règlement (UE) 2018/1725;

f) d’audits internes, les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), g), h) du règlement (UE) 2018/1725;

g) d’enquêtes réalisées par le délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, les limitations peuvent reposer sur l’article 25, paragraphe 1, points c), g) et h) du règlement (UE) 2018/1725;

h) d’enquêtes de sécurité informatique conduite en interne ou avec une participation externe (par exemple CERT-EU), les limitations peuvent être fondées sur l’article 25, paragraphe 1, points c), d), g), h) du règlement (UE) 2018/1725.

5. Toute limitation est nécessaire et proportionnée au regard, en particulier, des risques pour les droits et libertés des personnes concernées et respecte l’essence des libertés et droits fondamentaux dans une société démocratique.

Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées. L’évaluation est également effectuée dans le cadre du réexamen de l’application d’une limitation.

Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.

6. En outre, l’Office peut être tenu d’échanger des données à caractère personnel de personnes concernées avec les services de la Commission ou d’autres institutions, organes et organismes de l’UE, des autorités compétentes des États membres ou d’autres autorités compétentes de pays tiers ou organisations internationales, y compris:

a) lorsque les services de la Commission ou d’autres institutions, organes et organismes de l’UE limitent leurs obligations et l’exercice des droits de ces personnes concernées sur la base d’autres actes prévus à l’article 25 du règlement (UE) 2018/1725 ou conformément au chapitre IX dudit règlement ou aux actes fondateurs d’autres institutions, organes et organismes de l’UE;

FR Journal officiel de l’Union européenne27.3.2020 L 94/49CJ

b) lorsque les autorités compétentes des États membres limitent leurs obligations et l’exercice des droits de ces personnes concernées sur la base des actes visés à l’article 23 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou en vertu de mesures nationales transposant l’article 13, paragraphe 3, l’article 15, paragraphe 3, ou l’article 16, paragraphe 3, de la directive (UE) 2016/680 du Parlement européen et du Conseil (4).

Lorsque l’échange de données à caractère personnel est initié par une autre autorité, aucune limitation n’est appliquée par l’Office et les informations liées à l’affaire, y compris les données à caractère personnel, sont supprimées ou rendues anonymes par l’Office après la transmission des données demandées à cette autorité.

7. Les registres sur les limitations et, le cas échéant, les documents contenant des aspects factuels et juridiques sous- jacents, sont mis à la disposition du Contrôleur européen de la protection des données si celui-ci en fait la demande.

Article 4

Réexamen par le délégué à la protection des données

1. L’Office informe, sans retard injustifié, son délégué à la protection des données (le «DPD») chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, lève la limitation ou révise la durée de la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne dans le registre la date à laquelle le DPD a été informé.

2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.

3. La participation du DPD à la procédure de limitation, y compris aux échanges d’informations, est consignée sous une forme appropriée.

Article 5

Communication d’informations aux personnes concernées

1. Dans des cas dûment justifiés, et dans les conditions prévues par la présente décision, la communication d’informations peut être limitée par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement visées à l’article 1, paragraphe 2, de la présente décision. Notamment, la communication d’informations peut être différée, omise ou refusée si elle prive d’effet l’opération de traitement.

2. Lorsque l’Office limite, en tout ou en partie, la communication d’informations visées au paragraphe 1, il consigne dans une note d’évaluation interne les motifs de la limitation, comprenant une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée.

3. La limitation visée au paragraphe 1 continue de s’appliquer tant que les raisons la justifiant persistent.

Lorsque les raisons de la limitation ne s’appliquent plus, l’Office fournit des informations à la personne concernée sur les principales raisons de la limitation. Dans le même temps, l’Office informe la personne concernée de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

4. L’Office réexamine l’application de la limitation au moins une fois par an et à la clôture de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation sur une base annuelle.

(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1.)

(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

FR Journal officiel de l’Union européenneL 94/50 27.3.2020CJ

Article 6

Droit d’accès, droit de rectification, droit à l’effacement et droit à la limitation du traitement de la personne concernée

1. Dans des cas dûment justifiés et dans les conditions prévues par la présente décision, le droit d’accès, de rectification, d’effacement et de limitation du traitement peut être limité par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement visées à l’article 1, paragraphe 2, de la présente décision. Les dispositions contenues à l’article 6 ne s’appliquent pas au droit d’accès aux données et/ou dossiers médicaux, pour lequel des dispositions spécifiques sont explicitement prévues à l’article 7 ci-dessous.

2. Lorsque des personnes concernées demandent à exercer leur droit d’accès, de rectification, d’effacement et de limitation du traitement concernant leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou concernant une opération de traitement en particulier, l’Office limite son examen de la demande à ces seules données à caractère personnel.

3. Lorsque l’Office limite, en tout ou en partie, le droit d’accès, de rectification, d’effacement et de limitation du traitement, il prend les mesures suivantes:

a) il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne;

b) il consigne dans une note d’évaluation interne les motifs de la limitation, accompagnés d’une évaluation de la nécessité de la limitation, de sa proportionnalité et de sa durée.

Conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725, la communication d’informations visées au point a), peut être différée, omise ou refusée si elle prive d’effet la limitation.

4. L’Office réexamine l’application de la limitation des droits des personnes concernées au moins une fois par an et à la clôture de la procédure en question. Ensuite, à la demande des personnes concernées, le responsable du traitement réexamine la nécessité de maintenir la limitation.

Article 7

Droit d’accès aux données et/ou dossiers médicaux

1. La limitation du droit d’accès des personnes concernées à leurs données et/ou dossiers médicaux est régie par des dispositions spécifiques qui sont énoncées dans le présent article.

2. Sous réserve des paragraphes ci-dessous, l’Office peut limiter le droit des personnes concernées à accéder directement aux données et/ou dossiers médicaux de nature psychologique ou psychiatrique les concernant qui sont traités par l’Office, lorsque l’accès à ces données est susceptible de présenter un risque pour la santé des personnes concernées. Cette limitation doit être proportionnée à ce qui est strictement nécessaire pour protéger la personne concernée.

3. L’accès aux informations visées au paragraphe 2 est donné à un médecin choisi par la personne concernée.

4. Dans de tels cas, la personne concernée obtient, à sa demande, le remboursement par le service médical de la partie du coût de la consultation auprès du médecin ayant obtenu l’accès aux données et/ou dossiers médicaux qui n’est pas remboursée par le Régime commun d’assurance maladie (RCAM). Le remboursement ne doit pas excéder la différence entre le plafond fixé dans les dispositions générales d’exécution relatives au remboursement des frais médicaux (5) et le montant remboursé à la personne concernée par le RCAM conformément à ces règles.

5. Le remboursement effectué par le service médical est subordonné à la condition que l’accès n’ait pas déjà été accordé pour les mêmes données et/ou dossiers.

6. Sous réserve des paragraphes ci-dessous, l’Office peut limiter, au cas par cas, le droit des personnes concernées d’accéder à leurs données et/ou dossiers médicaux personnels en sa possession, en particulier lorsque l’exercice de ce droit porte atteinte aux droits et libertés de la personne concernée ou d’autres personnes concernées.

(5) Décision C(2007) 3195 de la Commission du 2 juillet 2007 portant fixation des dispositions générales d’exécution relatives au remboursement des frais médicaux.

FR Journal officiel de l’Union européenne27.3.2020 L 94/51CJ

7. Lorsque les personnes concernées demandent à exercer leur droit d’accès à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement en particulier, l’Office limite son examen de la demande à ces seules données à caractère personnel.

8. Lorsque l’Office limite, en tout ou en partie, le droit d’accès aux données et/ou dossiers médicaux personnels, il prend les mesures suivantes:

a) il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne;

b) il consigne dans une note d’évaluation interne les motifs de la limitation, comprenant une évaluation de la nécessité, de la proportionnalité de la limitation et de sa durée, notamment en indiquant comment l’exercice du droit présenterait un risque pour la santé de la personne concernée ou porterait atteinte aux droits et libertés des personnes concernées ou d’autres personnes concernées.

Conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725, la communication d’informations visées au point a), peut être différée, omise ou refusée si elle prive d’effet la limitation.

9. Les limitations visées aux paragraphes 2 et 6 ci-dessus continuent de s’appliquer tant que les raisons la justifiant persistent. Dès que les raisons justifiant la limitation ne s’appliquent plus, à la demande des personnes concernées, le responsable du traitement réexamine la nécessité de maintenir la limitation.

Article 8

Communication à la personne concernée d’une violation de données à caractère personnel et confidentialité des communications électroniques

1. Dans des cas dûment justifiés et dans les conditions stipulées dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement visées à l’article 1, paragraphe 2, de la présente décision. Néanmoins, ce droit n’est pas limité dans le cadre des procédures pour traiter un cas de harcèlement.

2. Dans des cas dûment justifiés et dans les conditions prévues par la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement, si la limitation est nécessaire et proportionnée, dans le cadre des opérations de traitement suivantes visées à l’article 1, paragraphe 2, de la présente décision.

3. L’article 5, paragraphes 2, 3 et 4, de la présente décision s’applique lorsque l’Office limite la communication d’une violation de données à caractère personnel ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725.

Article 9

Entrée en vigueur

La présente décision entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Fait à Alicante, le 26 mars 2020.

Pour l’Office de l’Union européenne pour la propriété intellectuelle

Jorma HANSKI

Président du conseil d’administration

FR Journal officiel de l’Union européenneL 94/52 27.3.2020CJ