Fonds européen agricole pour le développement rural (Feader): soutien au développement rural 2014-2020

2011/0282(COD)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES (CEPD) sur les propositions législatives pour la politique agricole commune après 2013.

Le 12 octobre 2011, la Commission a adopté un ensemble de 7 propositions de règlement relatives à la politique agricole commune (PAC) après 2013, qui ont été envoyées le même jour au CEPD pour consultation.

Les propositions visent à fournir un cadre pour: 1) la production viable de denrées alimentaires; 2) la gestion durable des ressources naturelles et des mesures en faveur du climat; et 3) un développement territorial équilibré. À cette fin, elles établissent plusieurs régimes de soutien aux agriculteurs ainsi que d’autres mesures pour stimuler le développement agricole et rural.

Dans le cadre de ces programmes, des données à caractère personnel - qui se rapportent essentiellement aux bénéficiaires des aides, mais aussi à des tiers - sont traitées à différentes étapes (traitement des demandes d’aides, garantie de la transparence des paiements, contrôle et lutte contre la fraude, etc.). Bien que la majeure partie du traitement soit effectuée par les États membres sous leur responsabilité, la Commission est en mesure d’accéder à la plupart de ces données. Les bénéficiaires et, dans certains cas, des tiers - par exemple, aux fins de la lutte contre la fraude - doivent fournir des informations aux autorités compétentes désignées.

Le CEPD se réjouit par conséquent qu’il soit fait référence à l’applicabilité de la directive 95/46/CE et du règlement (CE) n° 45/2001 dans les préambules du règlement relatif aux paiements directs, du règlement «OCM unique», du règlement relatif au développement rural et du règlement horizontal.

Le présent avis n’a pas pour but d’analyser l’ensemble des propositions, mais d’apporter une contribution et des orientations pour la conception du traitement de données à caractère personnel nécessaire à la gestion de la PAC d’une manière qui soit respectueuse des droits fondamentaux à la vie privée et à la protection des données. À cet effet, le présent avis est structuré en deux parties: une première partie, plus générale, comprend une analyse et des recommandations applicables à la plupart des propositions. Il s’agit essentiellement d’observations sur les compétences déléguées et d’exécution de la Commission. Une seconde partie aborde ensuite des dispositions spécifiques figurant dans plusieurs propositions et comporte des recommandations pour remédier aux problèmes qui y sont décelés.

Actes délégués et mesures d’exécution : de manière générale, on observe que de nombreuses questions essentielles à la protection des données ne sont pas abordées par les propositions actuelles, mais qu’elles seront réglementées par des actes d’exécution ou des actes délégués. C’est le cas, par exemple, des mesures à adopter en matière de contrôle des aides, d’établissement de systèmes informatiques, de transferts d’informations aux pays tiers et de contrôles sur place.

Le CEPD considère toutefois que les aspects centraux des traitements envisagés dans les propositions et les garanties nécessaires en matière de protection des données doivent être réglementés dans les principaux textes législatifs plutôt que dans les actes délégués et d’exécution, afin de renforcer la sécurité juridique:

  • la finalité spécifique de tout traitement doit être explicitement indiquée dans les propositions, surtout en cas de publication de données à caractère personnel et de transferts internationaux;
  • les catégories de données à traiter doivent être précisées;
  • les données à caractère personnel ne doivent être traitées que si cela est nécessaire;
  • les droits d’accès doivent être précisés. Il y a lieu de préciser en particulier que la Commission ne peut traiter de données à caractère personnel que lorsque cela est nécessaire, par exemple à des fins de contrôle;
  • des périodes maximales de conservation doivent être fixées dans les propositions;
  • les droits des personnes concernées doivent être précisés, notamment en ce qui concerne le droit à l’information. Il convient de garantir que les bénéficiaires comme les tiers sont informés du fait que leurs données sont traitées;
  • la ou les finalités spécifiques et l’étendue des transferts internationaux doivent être limitées à ce qui est nécessaire et doivent être fixées de manière adéquate dans les propositions.

Dès que ces éléments auront été précisés dans les propositions législatives principales, des actes délégués ou d’exécution pourront être utilisés pour mettre en œuvre ces garanties spécifiques avec plus de précision. Le CEPD souhaite être consulté sur les actes délégués et d’exécution portant sur des questions liées à la protection des données.

Droits des personnes concernées : les droits des personnes concernées doivent être précisés, notamment en ce qui concerne le droit d’information et le droit d’accès. C’est en particulier le cas en ce qui concerne le règlement horizontal, d’après lequel les documents commerciaux des bénéficiaires, mais aussi des fournisseurs, des clients, des transporteurs ou d’autres tiers peuvent être contrôlés. Si les bénéficiaires peuvent être conscients du fait que leurs donnés sont traitées, les tiers doivent également être dûment informés que leurs données peuvent être utilisées à des fins de contrôle (par exemple, par une déclaration de confidentialité à transmettre au moment de la collecte et par les informations fournies sur tous les sites internet et documents pertinents). L’obligation d’informer les personnes concernées, en ce compris les tiers, doit être incorporée aux propositions.

Mesures de sécurité : il convient de prévoir des mesures de sécurité, au moins par des actes délégués ou d’exécution, notamment en ce qui concerne les bases de données et les systèmes informatisés. Les principes de la responsabilité et de la vie privée dès la conception doivent également être pris en considération.

Contrôle préalable : le CEPD estime qu’un contrôle préalable de l’autorité nationale compétente chargée de la protection des données ou du CEPD peut s’avérer nécessaire compte tenu du fait que, dans certains cas, des données liées à des infractions (présumées) peuvent être traitées (par exemple, des données liées à des fraudes).