Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Approche globale de la protection des données à caractère personnel dans l'Union européenne

2011/2025(INI)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions intitulée «Une approche globale de la protection des données à caractère personnel dans l’Union européenne».

Le CEPD est favorable sans réserve à l’approche globale de la protection des données. Il déplore cependant que la communication exclue certains domaines, tels que le traitement de données par les institutions et organes de l’UE, de l’instrument juridique général. Si la Commission décidait de ne pas inclure ces domaines, le CEPD l’invite à adopter une proposition au niveau européen aussi rapidement que possible, de préférence au plus tard fin 2011.

Le CEPD approuve dans l’ensemble la communication de la Commission. Il estime que la révision du cadre juridique actuel pour la protection des données est nécessaire pour garantir une protection efficace dans une société de l’information en constant développement et de plus en plus mondialisée. Il partage l’avis de la Commission selon lequel un solide système de protection des données restera nécessaire à l’avenir, étant admis que les principes généraux existants de protection des données restent valables dans une société en profonde mutation.

Dans la perspective d’un nouveau cadre pour la protection des données, le CEPD appelle à une approche plus ambitieuse sur un certain nombre de points :

1) Harmonisation et simplification : le CEPD estime qu’une harmonisation améliorée et renforcée est urgente dans les domaines suivants: définitions, motifs de traitement des données, droits des personnes concernées, transferts internationaux et autorités chargées de la protection des données.

Le CEPD suggère d’envisager les options suivantes pour simplifier et/ou réduire la portée des obligations de notification:

  • limiter l’obligation de notification à certains types spécifiques de traitements comportant certains risques spécifiques;
  • imposer une obligation d’enregistrement simple requérant l’enregistrement des responsables du traitement (au lieu d’exiger le long processus d’enregistrement de l’ensemble des traitements de données);
  • introduire un formulaire standard de notification paneuropéen.

Selon le CEPD, un règlement, un instrument unique directement applicable dans les États membres, est le meilleur moyen de protéger le droit fondamental à la protection des données et de parvenir à une meilleure convergence au sein du marché intérieur.

2) Renforcer les droits des personnes : tout en soutenant la proposition de la communication de renforcer les droits des personnes, le CEPD formule les suggestions suivantes:

  • un principe de transparence pourrait être inclus dans la législation. Il est toutefois plus important de renforcer les dispositions existantes ayant trait à la transparence.
  • une disposition sur la notification des violations des données à caractère personnel (brèches de sécurité), qui étend l’obligation incluse dans la directive révisée «vie privée et communications électroniques» à l’ensemble des responsables du traitement, devrait être introduite dans l’instrument général;
  • les limites du consentement devraient être définies plus précisément. Il devrait être envisagé d’élargir le champ des situations requérant un consentement exprès et d’adopter des règles supplémentaires pour l’environnement en ligne;
  • de nouveaux droits devraient être introduits, tels que la portabilité des données et le droit à l’oubli, en particulier pour les services en ligne de la société de l’information;
  • les intérêts des enfants devraient être mieux protégés grâce à de nouvelles dispositions, portant spécifiquement sur la collecte et le traitement ultérieur de leurs données;
  • des mécanismes de recours collectif pour violation des règles en matière de protection des données devraient être introduits dans la législation de l’UE, dans le but d’habiliter des entités qualifiées à engager des poursuites au nom de groupes de personnes.

3) Renforcer les obligations des responsables de traitement : le nouveau cadre doit contenir des mesures incitant les responsables du traitement à inclure à titre préventif des mesures de protection des données dans leurs processus opérationnels. Le CEPD propose i) l’introduction de dispositions générales sur la responsabilité («accountability») et la prise en compte du principe de respect de la vie privée dès la conception («privacy by design») ; ii) l’introduction d’une disposition sur les systèmes de certification du respect de la vie privée.

4) La mondialisation et le droit applicable : un nouvel instrument juridique doit préciser les critères qui déterminent le droit applicable. Il convient de s’assurer que les données traitées dans des pays tiers n’échappent pas à la juridiction de l’UE lorsqu’il existe une demande justifiée d’appliquer le droit de l’UE. Le CEPD soutient l’objectif visant à garantir une approche plus uniforme et plus cohérente vis-à-vis des pays tiers et des organisations internationales. Des règles d’entreprise contraignantes devraient être incluses dans l’instrument juridique.

5) Le secteur de la police et de la justice : un instrument général englobant le secteur de la police et de la justice pourrait autoriser l’inclusion de règles spéciales, qui prennent dûment en compte les spécificités de ce secteur, conformément à la déclaration 21 annexée au traité de Lisbonne. Des garanties spécifiques doivent être mises en place afin d’offrir une compensation aux personnes concernées en leur assurant une protection supplémentaire dans un domaine où le traitement de données à caractère personnel est par essence plus intrusif.

6) Les autorités chargées de la protection des données (APD) et la coopération entre les APD : le CEPD soutient pleinement l’objectif de la Commission de trancher la question du statut des APD, et plus explicitement de renforcer leur indépendance, leurs ressources et leurs pouvoirs de mise en œuvre de la législation.

Le CEPD suggère de renforcer le rôle consultatif du groupe de travail «Article 29», en introduisant une obligation, pour les APD et la Commission, de tenir le plus grand compte des avis et positions communes adoptés par le groupe du groupe de travail. Il invite en outre la Commission à se positionner aussi rapidement que possible sur la question de la supervision des organes de l’UE et de systèmes d’informations européens à grande échelle. Il soutient à cet égard le modèle de «supervision coordonnée».

Le CEPD suggère également les améliorations suivantes dans le cadre du système actuel:

  • continuer de vérifier que les États membres se conforment à la directive 95/46/CE et, si nécessaire, user de ses pouvoirs en vertu de l’article 258 TFUE;
  • promouvoir la mise en œuvre de la législation au niveau national et sa coordination;
  • intégrer à titre préventif des principes de protection des données dans de nouvelles réglementations susceptibles d’avoir une incidence, directement ou indirectement, sur la protection des données;
  • promouvoir activement une coopération plus étroite entre les divers acteurs au niveau international.