EPO - Protection des données et confidentialité

L'OEB est une organisation internationale, instituée par la Convention sur le brevet européen (CBE) et en tant que telle, n'est pas soumise aux dispositions du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Le 30 juin 2021, l'OEB a adopté un nouveau cadre de protection des données conforme aux meilleures pratiques européennes et internationales. Le règlement relatif à la protection des données (RRPD), représente l'élément essentiel de ce nouveau cadre.

Toutes les données à caractère personnel, collectées ou gérées par l'OEB, sont traitées conformément au règlement relatif à la protection des données visant à assurer que la manipulation des données des personnes concernées effectuée par l'OEB réponde aux normes les plus rigoureuses de protection. Les opérations de traitement effectuées par le Conseil d'administration de l'Organisation européenne des brevets n'entrent pas dans le champ d'application de ces règles. En outre, les articles 49 à 52 du RRPD ne s'appliquent pas au traitement des données à caractère personnel effectué par les Chambres de recours de l'OEB dans le cadre de leurs fonctions judiciaires.

Le RRPD est complété par décision du Président de l'Office européen des brevets (« le Président ») en date du 13 décembre 2021, relative au traitement de données à caractère personnel dans la procédure de délivrance de brevets et les procédures connexes, la décision du Président de l'Office européen des brevets, en date du 7 décembre 2022, relative au traitement de données à caractère personnel dans les procédures relatives aux brevets européens à effet unitaire et par la décision du Président de l'Office européen des brevets, en date du 17 novembre 2022, relative aux pays et aux entités considérés comme assurant une protection adéquate des données à caractère personnel.

Aux fins du traitement des données à caractère personnel par l'OEB, le Président agit en tant que responsable du traitement. Le Président est libre de déléguer à des unités opérationnelles la compétence de déterminer les finalités et les moyens de traitement de certaines données à caractère personnel (article 28(3) du RRPD). Lesdites unités agiront donc en tant que responsables délégués. Pour de plus amples informations concernant les responsables délégués, veuillez consulter la décision du Président de l'Office européen des brevets relative à l'identification des unités opérationnelles de l'Office agissant en tant que responsables délégués, en date du 17 mai 2022.

Aux fins du traitement des données à caractère personnel par les chambres de recours de l'OEB dans l'exercice de leurs activités juridictionnelles, le Président des chambres de recours agit en tant que responsable du traitement. En ce qui concerne les opérations de traitement de données à caractère personnel effectuées par les chambres de recours dans l'exercice des fonctions et compétences administratives conférées au Président des chambres de recours par l'acte de délégation, le Président des chambres de recours agit en tant que responsable du traitement et le suppléant du Président des chambres de recours agit en tant que responsable délégué du traitement. Pour de plus amples informations, veuillez consulter la Décision du Président des chambres de recours, en date du 5 avril 2022, désignant un responsable délégué du traitement au sens du règlement relatif à la protection des données. Pour toutes autres activités de traitement menées par l'Unité chambres de recours, le Président des chambres de recours agit en tant que responsable délégué pour le compte du Président de l'OEB. Veuillez noter que la Décision du Président de l'Office européen des brevets, en date du 17 novembre 2022, relative aux pays et aux entités considérés comme assurant une protection adéquate des données à caractère personnel s'applique par analogie à toutes les opérations de traitement susmentionnées.

L'article 32 du RRPD impose à l'OEB de tenir un registre central de ses activités de traitement. Les enregistrements des registres d'activités de traitement dans ce registre seront progressivement effectués au cours des six mois suivant l'entrée en vigueur du RRPD. Les registres décrivant le traitement des données à caractère personnel de personnes concernées externes sont accessibles publiquement sur le site internet de l'OEB. Les personnes concernées externes peuvent consulter ces registres afin d'en apprendre davantage sur la manière dont l'OEB traite leurs données à caractère personnel.

L'OEB est doté d'un dispositif de vidéosurveillance visant à assurer la sécurité et la sûreté des bâtiments, des biens, des agents et des visiteurs. Pour de plus amples informations, veuillez consulter la circulaire n° 421 Politique de vidéosurveillance de l'OEB.

Le responsable de la protection des données de l'OEB surveille de façon indépendante l'application interne et le respect du RRPD eu égard à l'ensemble des opérations de traitement effectuées par l'OEB. Un comité de la protection des données nommé par le Président dispose de fonctions de supervision et de conseil et joue un rôle dans le cadre du mécanisme des voies de recours juridique (article 47 RRPD).

Télécharger le règlement relatif à la protection des données de l'OEB

La présente politique de protection des données et de confidentialité (« politique ») explique la manière dont les données à caractère personnel collectées par l'OEB sont traitées.

a. Quelles informations traitons-nous ?

L'expression « données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable (également qualifiée de « personne concernée » ou « individu ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation mais qui peuvent toujours être attribuées à une personne physique par le biais d'informations supplémentaires doivent être considérées comme se rapportant à une personne physique identifiable.

Nous classons les données à caractère personnel en deux catégories :

Les données à caractère personnel obligatoires qui désignent les données à caractère personnel nécessaires aux fins (1) de l'accomplissement de tâches relevant des activités officielles de l'Organisation européenne des brevets ou de l'exercice légitime de l'autorité publique dont est investi l'OEB, ce qui inclut le traitement de données nécessaire à l'administration et le fonctionnement de l'OEB ; (2) de conformité aux obligations légales pesant sur l'OEB et (3) d'exécution d'un contrat auquel une personne concernée est partie.
- Il s'agit, par exemple, des données à caractère personnel que l'OEB collecte pour se conformer à son obligation de tenir un Registre européen des brevets (voir l'article 143 CBE et la décision du Président s'y rapportant), ainsi que des données à caractère personnel que l'Office collecte à des fins d'authentification lors de la connexion et de sécurité.
Les données à caractère personnel non obligatoires qui désignent les données à caractère personnel collectées et traitées sur la base du consentement de la personne concernée. L'article 7 du RRPD énonce les règles spécifiques en matière de recueil du consentement.
- Il s'agit, par exemple, des données relatives aux exigences en matière de régime alimentaire et de mobilité que les personnes concernées sont susceptibles de fournir au moment de s'inscrire à un évènement, ainsi que des coordonnées des mandataires agréés accessibles via une recherche sur la base de données du site internet de l'OEB.

Pour de plus amples informations sur les catégories de données à caractère personnel traitées au cours de la procédure de délivrance des brevets et des procédures y afférent, veuillez consulter la décision du Président en date du 13 décembre 2021 relative au traitement de données à caractère personnel dans la procédure de délivrance de brevets et les procédures connexes.

Les données à caractère personnel collectées par l'OEB sont adéquates, pertinentes et se limitent à ce qui est strictement nécessaire au regard de leur(s) finalité(s).

b. Quelles utilisations faisons-nous de vos données à caractère personnel ?

Le terme « traitement » de données à caractère personnel désigne toute opération ou ensemble d'opérations effectuée(s) sur des données à caractère personnel ou un ensemble de données à caractère personnel, comme par exemple la collecte, le stockage, l'utilisation, la divulgation ou l'effacement.

Lorsque vous interagissez avec l'OEB, vos données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement d'une manière incompatible avec la ou les finalités pour lesquelles elles ont été collectées.

Le traitement que nous effectuons des données à caractère personnel doit respecter un certain nombre de principes. Le traitement doit notamment être licite, loyal et transparent au regard de la personne concernée et garantir une sécurité adéquate des données à caractère personnel.

Les finalités en vue desquelles les données à caractère personnel sont traitées, sont exposées dans les déclarations et documents mis à disposition des personnes concernées.

c. Quel est la base juridique du traitement de vos données à caractère personnel ?

Les opérations de traitement de l'OEB se fondent sur l'article 5 du RRPD, qui dispose que nous pouvons collecter les données à caractère personnel :

Pour l'accomplissement d'une tâche relevant des activités officielles de l'Organisation européenne des brevets ou l'exercice légitime de l'autorité publique dont est investi le responsable du traitement, ce qui comprend le traitement nécessaire à la gestion et au fonctionnement de l'Office
Afin de respecter une obligation légale incombant au responsable du traitement
Pour l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution des mesures précontractuelles prises à la demande de celle-ci
Lorsque la personne concernée a explicitement donné son consentement au traitement de données à caractère personnel la concernant pour une ou plusieurs finalités spécifiques
Pour sauvegarder les intérêts vitaux de la personne concernée ou d'une autre personne physique

d. Qui a accès à vos données à caractère personnel et à qui les divulguons-nous ?

À moins qu'elles ne soient publiées dans le Registre européen des brevets (en vertu de l'article 127 CBE et de la règle 143 CBE et de la décision du Président s'y rapportant), vos données à caractère personnel ne sont pas rendues publiques, sauf si vous avez donné expressément votre consentement.

Il ne doit être accédé aux données à caractère personnel et les dites données ne doivent être diffusées et traitées que sur la base stricte du « besoin de savoir », par le personnel autorisé de l'OEB et des prestataires de services tiers. Les données à caractère personnel ne sont divulguées à aucun autre destinataire. Pour de plus amples informations sur la manière dont nous protégeons et sauvegardons vos données à caractère personnel, veuillez consulter le point e) ci-après.

e. Comment protégeons-nous et sauvegardons-nous vos données à caractère personnel ?

Nous adoptons des mesures techniques et appropriées adéquates afin de sauvegarder et protéger vos données à caractère personnel, contre tout accident, destruction, altération, divulgation non autorisée ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Toutes les données à caractère personnel traitées par les systèmes installés dans les locaux de l'OEB sont stockées dans des applications informatiques sécurisées conformément aux normes de sécurité de l'OEB, qui incluent les mesures suivantes :

Authentification de l'utilisateur : tous les postes de travail et serveurs requièrent une ouverture de session, les dispositifs mobiles de l'OEB requièrent une ouverture de session au site de l'OEB, les comptes privilégiés requièrent une authentification supplémentaire et plus stricte.
Contrôle de l'accès (p.ex. contrôle en fonction du rôle aux systèmes et réseaux, principes du « besoin de savoir » et du « moindre privilège ») ; séparation des rôles d'administrateur et d'utilisateur, les utilisateurs ayant un minimum de privilège et les rôles d'administrateur étant maintenus au minimum.
Renforcement de la sécurité logicielle des systèmes, équipements et réseaux : 802.1x pour l'accès au réseau, le chiffrement des dispositifs de point d'extrémité, l'installation d'antivirus sur tous les dispositifs.
Protection physique : contrôles des accès effectués par l'OEB, contrôles supplémentaires des accès aux centres de données, politique de verrouillage des bureaux.
Contrôle des transmissions et entrées (p.ex. audit des connexions, surveillance des systèmes et réseaux) : surveillance de la sécurité avec Splunk.
Intervention en cas d'incident de sécurité : surveillance des incidents 24 heures sur 24 et 7 jours sur 7, experts en sécurité de garde.

Pour les données à caractère personnel traitées par des systèmes qui ne sont pas hébergés dans les locaux de l'OEB, les prestataires traitant les données se sont engagés dans le cadre d'un accord contraignant à respecter leur obligation de protection des données découlant du cadre juridique de protection des données applicable. L'OEB a également effectué une analyse en matière de confidentialité et de risque de sécurité. Il est exigé que ces systèmes aient mis en place des mesures techniques et organisationnelles telles que des mesures physiques de sécurité, des mesures de contrôle des accès et du stockage, la sécurisation des données inactives (p.ex. par chiffrement) ; des mesures de contrôle des utilisateurs, de la transmission et des entrées (avec p.ex. des pare-feu de réseau, des systèmes de détection des intrusions sur le réseau (IDS), des systèmes de protection contre les intrusions sur le réseau (IPS), un audit des connexions) ; des mesures de contrôle de l'acheminement des données (p.ex. sécurisation des données en transit par un chiffrement).

Si vous constatez une violation de données personnelles (c'est-à-dire une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données) portant sur des données à caractère personnel transmises, conservées ou traitées d'une autre manière par l'OEB, veuillez le signaler dès que possible à l'adresse suivante : DPOexternalusers@epo.org.

f. Combien de temps conservons-nous vos données à caractère personnel ?

Les données à caractère personnel sous une forme permettant d'identifier les personnes concernées seront stockées seulement pendant le temps nécessaire à la réalisation des finalités de leur traitement.

Pour les données traitées en vertu de en vertu de la règle 143 CBE et de la décision du Président s'y rapportant, l'OEB est légalement tenu de les conserver indéfiniment. Autrement, des périodes spécifiques de conservation sont établies pour chaque traitement spécifique de données à caractère personnel.

Pour de plus amples informations, les personnes concernées peuvent consulter les registres d'activités de traitement ou documents spécifiques en matière de protection des données.

g. Caractéristiques des réseaux sociaux

L'OEB utilise les réseaux sociaux afin de faire connaître ses activités et de mieux interagir avec le public. Nous sommes présents sur Facebook, Twitter, LinkedIn, Xing et YouTube et nous encourageons tout un chacun à partager notre contenu et à prendre part à nos discussions !

Notre site internet utilise les plugins sociaux de Facebook, Twitter, LinkedIn, Xing et YouTube (« fournisseurs de réseaux sociaux »). Si, lorsque vous visitez le site internet, vous êtes connectés à votre réseau social via l'un de ces fournisseurs de réseaux sociaux, le fournisseur de réseau social est susceptible d'affecter votre visite à son compte de réseau social. Si vous utilisez les fonctionnalités des plugins sociaux, ces informations seront directement transmises à travers votre navigateur au fournisseur de réseaux sociaux et sont susceptibles d'y être stockées.

Chaque fournisseur de réseaux sociaux dispose de sa propre politique sur la manière de traiter vos données à caractère personnel lorsque vous accédez à son site. Par conséquent, nous vous encourageons à consulter ces différentes politiques pour obtenir davantage d'informations sur les finalités et la portée des traitements des données à caractère personnel qu'ils effectuent :

h. Modifications de la présente politique

L'OEB a toujours cherché à maintenir son cadre de protection des données en ligne avec les derniers développements et les meilleures pratiques, et mettra à jour la présente politique en conséquence. Nous vous encourageons ainsi à la consulter fréquemment.

Vous pouvez trouver ci-après des informations supplémentaires sur le traitement des données à caractère personnel pour des finalités spécifiques :

Pour effectuer les activités et tâches officielles de l'OEB

Pour gérer les interactions avec les utilisateurs contactant l'OEB

Pour coopérer avec des institutions européennes ou des organisations internationales

Déclaration relative à la protection des données concernant le traitement de données à caractère personnel dans le cadre du réseau PATLIB et de ses centres

Pour organiser des évènements, des formations et des réunions, ouverts au public

Pour gérer les procédures d'achats publiques

Contrôle des accès

Le terme « cookie » désigne une petite portion de donnée qu'un site internet stocke sur l'ordinateur ou le dispositif mobile d'une personne concernée.

a. Cookies propriétaires

Cookies strictement nécessaires. Nous utilisons des cookies afin de permettre l'utilisation et de garantir la sécurité du site. Ces cookies n'obtiennent pas d'informations au sujet des personnes concernées et ne seront pas utilisés à des fins de marketing ou pour collecter des informations au sujet de votre habitude de navigation ou de vos préférences. Ils sont configurés par défaut et ne peuvent pas être désactivés.

Cookies analytiques. Nous utilisons des cookies pour comprendre vos préférences et suivre les tendances d'utilisation. Nous pouvons collecter des données au sujet de votre habitude de navigation, telles que votre adresse IP, localisation, prestataire de services IP (si disponible), type de navigateur, système d'exploitation, langage et taille d'écran, les pages visitées ainsi que la durée et la date de ces visites.

Nous utilisons ces informations afin d'obtenir des statistiques agrégées et anonymes en vue d'améliorer nos services et votre expérience. Les données sont collectées, agrégées et anonymisées dans notre centre de données dans le cadre de mesures de sécurité adéquates.

b. Cookies tiers

Le contenu audiovisuel affiché sur notre site internet est hébergé ou traité par YouTube. En le visualisant, vous acceptez les conditions spécifiques de YouTube, y compris sa politique relative aux cookies, sur laquelle nous ne disposons d'aucun contrôle.

c. Cookies utilisés sur les sites internet

Les cookies suivants sont utilisés sur les sites internet epo.org:

Catégorie	Nom du cookie	Source	Expiration	Finalité
Strictement nécessaires	AWSSESSION_ID	Propriét- aires	Session	Cookies de session de plateforme, utilisés pour le maintien d'une session d'utilisateur anonyme par le serveur.
Strictement nécessaires	AWSUSER_ID	Propriét- aires	416 jours	Utilisés pour identifier l'utilisateur.
Strictement nécessaires	JSESSIONID	Propriét- aires	Session	Cookies de session de plateforme, utilisés pour le maintien d'une session d'utilisateur anonyme par le serveur.
Analytiques	_pk_id	Tiers	13 mois	Utilisés pour stocker quelques détails sur l'utilisateur tels que l'identifiant unique du visiteur.
Analytiques	_pk_ref	Tiers	6 mois	Utilisés pour stocker le référent utilisé initialement pour visiter le site internet.
Analytiques	_pk_cvar	Tiers	30 minutes	Cookies éphémères utilisés pour stocker temporairement des données pour la visite.
Analytiques	_pk_ses	Tiers	30 minutes	Cookies éphémères utilisés pour stocker temporairement des données pour la visite.
Analytiques	mtm_consent (or mtm_consent_removed)	Propriét-aires	100 jours	Utilisés pour se rappeler que des utilisateurs ont visité le site internet et ont pris connaissance de l'utilisation de cookies (par le biais de la bannière dédiée), Cette préférence peut être modifiée à tout moment par l'utilisateur.

Les cookies suivants sont utilisés sur le site internet new.epo.org:

Catégorie	Nom du cookie	Source	Expiration	Finalité
Strictement nécessaires	SESS[Unique ID]	Propriét-aires	23 jours	Ce cookie permet votre connexion et la sauvegarde des formulaires de contact que vous avez transmis. Il est indispensable au bon fonctionnement du site et à votre expérience utilisateur.
Strictement nécessaires	cookie_agreed_version cookie_agreed	Propriét-aires	100 jours	Acceptation des cookies.
Analytiques	_pk_id	Tiers	393 jours	Utilisé pour stocker quelques informations sur l'utilisateur, par ex. l'identifiant de visiteur unique.
Analytiques	_pk_ref	Tiers	6 mois	Utilisé pour enregistrer le référent utilisé initialement pour accéder au site web.
Analytiques	_pk_cvar	Tiers	30 minutes	Utilisé pour stocker temporairement des données relatives à la visite.
Analytiques	_pk_ses	Tiers	30 minutes	Utilisé pour stocker temporairement des données relatives à la visite.

Les cookies suivants sont utilisés sur le site internet EPO Bulk Data Distribution Service:

Catégorie	Nom du cookie	Source	Expiration	Finalité
Strictement nécessaires	JSESSIONID $	Propriétaires	Session	Cookies de session de plateforme, utilisés pour le maintien d’une session d’utilisateur par le serveur.
Strictement nécessaires	ambassador_session. NAME.SPACE	Propriétaires	Session	Cookies de session de plateforme, utilisés pour le maintien d’une session d’utilisateur par le serveur.
Strictement nécessaires	ambassador_xsfr. NAME.SPACE	Propriétaires	Session	Cookies de session de plateforme, utilisés pour le maintien d’une session d’utilisateur par le serveur (protection xsrf).

d. Informations techniques

Gestion des cookies

Vous pouvez gérer / supprimer les cookies comme bon vous semble. Des informations supplémentaires sur la manière d'y parvenir sont disponibles au lien suivant : aboutcookies.org.

Suppression des cookies de votre dispositif

Vous pouvez supprimer tous les cookies se trouvant actuellement sur votre dispositif en effaçant votre historique de navigation. Ceci supprimera tous les cookies provenant des sites internet que vous avez visités.

Gestion des cookies spécifiques à certains sites

Vous pouvez en apprendre davantage sur la manière de gérer les cookies spécifiques à certains sites en consultant les paramètres de confidentialité ainsi que ceux relatifs aux cookies de votre navigateur.

Blocage des cookies

Vous pouvez sélectionner l'option « Do no track » (ne pas suivre) sur votre navigateur afin de prévenir, autant que possible, que des cookies soient placés sur votre dispositif. Toutefois, certaines préférences sont susceptibles de devoir être configurées chaque fois que vous visitez un site ou une page internet, dans la mesure où certains services et fonctionnalités pourraient ne pas fonctionner correctement.

Si l'option DNT est activée, nous respecterons votre choix et ne suivrons pas votre habitude de navigation sur notre site internet aux fins de l'obtention de statistiques anonymisées. Vous pouvez trouver des instructions sur la manière d'activer l'option DNT dans certains navigateurs populaires ci-après :

a. Vos droits à la protection des données

En tant que personne concernée, vous disposez des droits suivants conformément au règlement relatif à la protection des données de l'OEB :

Droits de la personne concernée	Description
Droit à l'information (articles 16 et 17 RRPD)	Lorsque des données à caractère personnel n'ont pas été obtenues des personnes concernées, le responsable du traitement, au moment de l'obtention des données à caractère personnel, doit fournir aux personnes concernées des informations sur les catégories de données à caractère personnel concernées, la sources des données à caractère personnel et, le cas échéant, si elles sont issues ou non de sources accessibles au public.
Droit d'accès (article 18 RRPD)	Les personnes concernées ont le droit de demander la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, d'accéder facilement et à des intervalles raisonnables auxdites données à caractère personnel, de comprendre quelles données les concernant sont traitées, de vérifier la qualité de leurs données à caractère personnel, de vérifier la licéité du traitement et d'exercer leurs autres droits.
Droit de rectification (article 19 RRPD)	Les personnes concernées ont le droit de demander la correction des données erronées les concernant.
Droit à l'effacement (article 20 RRPD)	Les personnes concernées ont le droit de demander l'effacement de leurs données à caractère personnel dans certaines circonstances, notamment lorsque leurs données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou si elles ont fait l'objet d'un traitement illicite.
Droit à la limitation du traitement (article 21 RRPD)	Les personnes concernées ont le droit d'obtenir de l'OEB la limitation du traitement de leurs données à caractère personnel lorsque les données sont inexactes, lorsque l'OEB n'en a plus besoin aux fins du traitement ou si le traitement est illicite ou lorsque les personnes concernées se sont déjà opposées au traitement ; leur opposition étant en attente de vérification.
Droit à la portabilité des données (article 22 RRPD)	Lorsque les données sont traitées sur le fondement des articles 5(c), 5(d) and 11(2)(a) RRPD, les personnes concernées ont le droit de recevoir dans un format structuré, couramment utilisé et lisible par machine, les données à caractère personnel les concernant qu'elles ont fournies au responsable du traitement et le droit que ces données soient transmises directement d'un responsable du traitement à un autre, sans que le responsable du traitement auquel les données ont été initialement communiquées y fasse obstacle.
Droit d'opposition (article 23 RRPD)	Les personnes concernées ont le droit de s'opposer à tout moment, à un traitement de leurs données à caractère personnel dans certaines circonstances. Le responsable du traitement doit cesser de traiter les données à caractère personnel à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés des personnes concernées.
Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (article 24 RRPD)	Les décisions fondées exclusivement sur un traitement automatisé sont des décisions prises par des machines - ce qui comprend le profilage - qui produisent des effets à l'égard des personnes concernées ou les affectant de manière significative. Les personnes concernées ont le droit de ne pas faire l'objet de ce type de décision, sauf lorsque la décision est nécessaire aux fins de conclusion ou d'exécution d'un contrat entre ces dernières et l'OEB, est autorisée par un acte juridique ou est fondée sur le consentement explicite des personnes concernées.

b. Mes droits peuvent-ils être limités ?

Le droit à la protection des données n'est pas absolu. Il doit toujours être mis en balance avec d'autres droits fondamentaux et dans certaines circonstances, un ou plusieurs de vos droits peuvent être restreints. Si c'est le cas, vous serez informé des principales raisons de cette décision et de votre droit à demander au responsable de la protection des données de procéder à une enquête et / ou de déposer une demande de réexamen auprès du responsable délégué (voir la procédure décrite plus bas au point d).

Ces droits peuvent être limités sur la base des motifs légitimes visés à l'article 25 du règlement relatif à la protection des données de l'OEB et dans la circulaire n°420 mettant en œuvre l'article 25 du RRPD lorsqu'une telle limitation respecte l'essence des droits fondamentaux et des libertés et constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

la sécurité de l'Organisation européenne des brevets, la sécurité publique ou la défense des États contractants;
la prévention et la détection d'infractions pénales ainsi que les enquêtes et les poursuites en la matière ou l'application de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et y compris les cas dans lesquels l'article 20 du protocole sur les privilèges et immunités est appliqué;
d'autres intérêts importants de l'Organisation européenne des brevets liés à sa mission principale ou en raison d'obligations découlant du devoir de coopération avec les États contractants, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
la sécurité interne de l'Office, y compris de ses réseaux de communications électroniques;
la protection de l'indépendance judiciaire et quasi judiciaire et des procédures judiciaires et quasi judiciaires;
la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les sanctions en la matière;
une mission de supervision, d'inspection ou de réglementation liée, même occasionnellement à l'exercice de l'autorité publique;
la protection de la personne concernée ou des droits et libertés d'autrui;
l'exécution des demandes de droit civil.

Pour de plus amples informations sur les limitations, vous pouvez consulter la circulaire n° 420 et contacter le responsable de la protection des données de l'OEB à l'adresse suivante : DPOexternalusers@epo.org.

c. Comment exercer vos droits

Si vous souhaitez exercer vos droits en tant que personne concernée, vous pouvez contacter le responsable délégué par courriel à l'adresse de messagerie électronique suivante : DPOexternalusers@epo.org.

Le responsable délégué devrait répondre dans les meilleurs délais et, en tout état de cause, dans un délai d'un mois à compter de la réception de votre demande. Cette période peut être prolongée de deux mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes. Dans ce cas, le responsable délégué doit dûment vous informer de la prorogation ainsi que des motifs du retard dans un délai d'un mois à compter de la réception de la demande par l'OEB.

Lorsque vous contactez l'OEB pour exercer vos droits, vous devez toujours nous communiquer certaines informations préliminaires avec votre requête afin de nous permettre de répondre plus rapidement et précisément à votre demande. Nous vous encourageons ainsi à remplir ce formulaire et à le transmettre avec votre requête.

Veuillez noter que l'OEB ne traitera aucune requête relative à l'exercice des droits d'une personne concernée envoyée ou reçue par le biais d'un logiciel de génération de requêtes automatiques (comme Mine, deseat.me, JustDelete.me, ou Removaly).

d. Quels mécanismes de réparation sont à votre disposition ?

Si vous estimez que le traitement effectué par l'OEB de vos données à caractère personnel viole vos droits en tant que personne concernée, vous pouvez utiliser les mécanismes de réparation qui sont à votre disposition conformément au RRPD. Veuillez noter que l'accès à ces mécanismes de réparation est subordonné au respect de toutes les étapes de la procédure décrite ci-dessous.

Vue d'ensemble

La vue d'ensemble ci-dessous doit être entendue comme une aide à l'utilisateur, son contenu n'étant cependant pas juridiquement contraignant. Le règlement relatif à la protection des données et le règlement intérieur du comité de la protection des données sont les dispositions qui sont applicables et juridiquement contraignantes.

Vue d`ensemble des mécanismes de réparation

Première étape

Les personnes concernées estimant que le traitement effectué par l'Office de leurs données à caractère personnel viole les droits mentionnés précédemment peuvent demander au responsable délégué d'examiner la question et de prendre une décision (article 49 RRPD). Lorsque le traitement est effectué par les chambres de recours de l'OEB dans l'exercice des fonctions et compétences qui leur sont conférées par l'acte de délégation, veuillez adresser votre demande de réexamen au Président des chambres de recours qui agit en tant que responsable de ces activités.

Délai : vous devez présenter votre demande de réexamen au plus tard dans les trois mois à compter de la date à laquelle vous avez été informé ou autrement pris connaissance du traitement de données à caractère personnel violant prétendument vos droits.
Comment présenter une demande de réexamen par le responsable délégué du traitement ? Les personnes concernées devraient envoyer leur demande en remplissant le formulaire de demande de réexamen et en l'envoyant à l'adresse suivante : DPOexternalusers@epo.org.
Procédure :
- Le responsable délégué doit répondre dans les meilleurs délais et en tout état de cause, au plus tard un mois à compter de la réception de votre demande.
- Cette période peut être prolongée de deux mois supplémentaires si nécessaire en raison de la complexité et du nombre de demandes. Si cela est le cas, le responsable doit dûment notifier la personne concernée de la prolongation et des raisons du retard dans le délai d'un mois à compter de la réception par l'OEB de la demande.
- Si le responsable ou le responsable délégué ne prend aucune mesure dans les trois mois, cela sera considéré comme un rejet implicite de votre demande.

Deuxième étape

Si vous n'êtes pas satisfait de la décision du responsable délégué ou si le responsable délégué ne prend pas de mesure dans les trois mois suivant la présentation de votre demande, vous pouvez déposer une réclamation auprès du comité de la protection des données conformément à l'article 50 RRPD. Le comité de la protection des données traitera votre réclamation conformément à son règlement intérieur.

Délai : Vous devez présenter votre réclamation auprès du comité de la protection des données dans le délai de trois mois à compter de la réception de la décision du responsable délégué et en cas de rejet implicite, de la date d'expiration du délai de réponse concernant votre demande de réexamen.
Comment déposer une réclamation auprès du comité de la protection des données : en remplissant le formulaire de demande et en l’envoyant à l'adresse suivante : dpbcomplaints@epo.org.
Procédure :
- Le comité de la protection des données invite les parties à exposer leur position par écrit concernant les réclamations et les faits en cause et à fournir des preuves, émettre des commentaires ou présenter des arguments eu égard aux preuves déjà disponibles.
- Le comité de la protection des données émet alors un avis motivé à l'attention du responsable. S'il cela est jugé nécessaire, une indemnisation peut être recommandée au titre des dommages matériels et immatériels.
- Une fois l'avis communiqué au responsable du traitement, ce dernier doit prendre une décision définitive. S'il ne suit pas l'avis du comité de la protection des données, il doit en expliquer les raisons par écrit.
- Le responsable du traitement notifie la décision définitive ainsi que les conclusions du comité de la protection des données aux parties ainsi qu'au responsable de la protection des données et au comité de la protection des données,

Troisième et dernière étape

Si vous n'êtes pas d'accord avec la décision définitive du responsable du traitement, vous pouvez demander au Président de l'Office d'engager une procédure arbitrale ad-hoc afin de régler le litige (article 52 RRPD) ;

Délai : vous devez soumettre votre demande d'arbitrage dans les trois mois suivant la réception de la décision définitive du responsable du traitement.
Contact : vous devez remplir le formulaire de demande et l'envoyer, conjointement à tous les documents nécessaires qui vous sont requis, au Président de l'OEB, à l'adresse suivante : president@epo.org.
Procédure :
- L'arbitrage a lieu à La Haye (Pays-Bas) avec un arbitre qualifié désigné par le Secrétaire général de la Cour permanente d'arbitrage.
- Le droit régissant la procédure d'arbitrage est la Convention sur le brevet européen, le règlement relatif à la protection des données de l'OEB, y compris tout disposition d'application, le droit des organisations internationales et les principes du droit international public.
- La procédure d'arbitrage est confidentielle et la décision rendue à l'issue de ladite procédure sera écrite (désignée également par «sentence arbitrale») et fixera également les frais d'arbitrage.
- L'Organisation européenne des brevets paie les frais d'arbitrage mais chaque partie paie ses propres frais de représentations juridiques et dépenses, à moins que l'arbitre n'en décide autrement.

Vous pouvez signaler une violation de données personnelles ou contacter le responsable du traitement, les responsables délégués et le responsable de la protection des données à l'adresse suivante : DPOexternalusers@epo.org.

Protection des données et confidentialité

Cadre juridique pour la protection des données à caractère personnel à l'OEB

Politique de protection des données et de confidentialité