AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES (CEPD) sur les propositions législatives pour la politique agricole commune après 2013.
Le 12 octobre 2011, la Commission a adopté un ensemble de 7 propositions de règlement relatives à la politique agricole commune (PAC) après 2013, qui ont été envoyées le même jour au CEPD pour consultation.
Les propositions visent à fournir un cadre pour: 1) la production viable de denrées alimentaires; 2) la gestion durable des ressources naturelles et des mesures en faveur du climat; et 3) un développement territorial équilibré. À cette fin, elles établissent plusieurs régimes de soutien aux agriculteurs ainsi que dautres mesures pour stimuler le développement agricole et rural.
Dans le cadre de ces programmes, des données à caractère personnel - qui se rapportent essentiellement aux bénéficiaires des aides, mais aussi à des tiers - sont traitées à différentes étapes (traitement des demandes daides, garantie de la transparence des paiements, contrôle et lutte contre la fraude, etc.). Bien que la majeure partie du traitement soit effectuée par les États membres sous leur responsabilité, la Commission est en mesure daccéder à la plupart de ces données. Les bénéficiaires et, dans certains cas, des tiers - par exemple, aux fins de la lutte contre la fraude - doivent fournir des informations aux autorités compétentes désignées.
Le CEPD se réjouit par conséquent quil soit fait référence à lapplicabilité de la directive 95/46/CE et du règlement (CE) n° 45/2001 dans les préambules du règlement relatif aux paiements directs, du règlement «OCM unique», du règlement relatif au développement rural et du règlement horizontal.
Le présent avis na pas pour but danalyser lensemble des propositions, mais dapporter une contribution et des orientations pour la conception du traitement de données à caractère personnel nécessaire à la gestion de la PAC dune manière qui soit respectueuse des droits fondamentaux à la vie privée et à la protection des données. À cet effet, le présent avis est structuré en deux parties: une première partie, plus générale, comprend une analyse et des recommandations applicables à la plupart des propositions. Il sagit essentiellement dobservations sur les compétences déléguées et dexécution de la Commission. Une seconde partie aborde ensuite des dispositions spécifiques figurant dans plusieurs propositions et comporte des recommandations pour remédier aux problèmes qui y sont décelés.
Actes délégués et mesures dexécution : de manière générale, on observe que de nombreuses questions essentielles à la protection des données ne sont pas abordées par les propositions actuelles, mais quelles seront réglementées par des actes dexécution ou des actes délégués. Cest le cas, par exemple, des mesures à adopter en matière de contrôle des aides, détablissement de systèmes informatiques, de transferts dinformations aux pays tiers et de contrôles sur place.
Le CEPD considère toutefois que les aspects centraux des traitements envisagés dans les propositions et les garanties nécessaires en matière de protection des données doivent être réglementés dans les principaux textes législatifs plutôt que dans les actes délégués et dexécution, afin de renforcer la sécurité juridique:
Dès que ces éléments auront été précisés dans les propositions législatives principales, des actes délégués ou dexécution pourront être utilisés pour mettre en uvre ces garanties spécifiques avec plus de précision. Le CEPD souhaite être consulté sur les actes délégués et dexécution portant sur des questions liées à la protection des données.
Droits des personnes concernées : les droits des personnes concernées doivent être précisés, notamment en ce qui concerne le droit dinformation et le droit daccès. Cest en particulier le cas en ce qui concerne le règlement horizontal, daprès lequel les documents commerciaux des bénéficiaires, mais aussi des fournisseurs, des clients, des transporteurs ou dautres tiers peuvent être contrôlés. Si les bénéficiaires peuvent être conscients du fait que leurs donnés sont traitées, les tiers doivent également être dûment informés que leurs données peuvent être utilisées à des fins de contrôle (par exemple, par une déclaration de confidentialité à transmettre au moment de la collecte et par les informations fournies sur tous les sites internet et documents pertinents). Lobligation dinformer les personnes concernées, en ce compris les tiers, doit être incorporée aux propositions.
Mesures de sécurité : il convient de prévoir des mesures de sécurité, au moins par des actes délégués ou dexécution, notamment en ce qui concerne les bases de données et les systèmes informatisés. Les principes de la responsabilité et de la vie privée dès la conception doivent également être pris en considération.
Contrôle préalable : le CEPD estime quun contrôle préalable de lautorité nationale compétente chargée de la protection des données ou du CEPD peut savérer nécessaire compte tenu du fait que, dans certains cas, des données liées à des infractions (présumées) peuvent être traitées (par exemple, des données liées à des fraudes).