AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES (CEPD) sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CEE) n° 3821/85 du Conseil concernant l'appareil de contrôle dans le domaine des transports par route et modifiant le règlement (CE) n° 561/2006 du Parlement européen et du Conseil.
Le CEPD se réjouit dêtre consulté sur une proposition qui affecte la vie privée des conducteurs professionnels de façon évidente. Il salue en particulier linsertion dune disposition spécifique concernant la protection des données à larticle 34 de la proposition. Cet article souligne clairement quil incombe aux propriétaires de véhicules ou aux transporteurs, en tant que responsables du traitement, de se conformer aux dispositions pertinentes concernant la protection des données. Cela implique, entre autres, quils devront informer les conducteurs professionnels du traitement de leurs données dans les tachygraphes et leur accorder le droit de consulter leurs données et le droit de les rectifier si elles sont inexactes ou incomplètes. Le CEPD souligne que cette information relative au traitement doit être complète pour toutes les opérations de traitement effectuées.
Le CEPD note cependant que cette disposition ne suffit pas à résoudre tous les problèmes de protection des données soulevés par les mesures avancées dans la proposition. Des garanties supplémentaires doivent donc être incluses dans la proposition et les mesures complémentaires décrites dans la communication intitulée «Tachygraphe numérique: feuille de route des futures activités».
1) Manque de clarté et de sécurité quant aux modalités du traitement des données : le CEPD considère que les modalités générales du traitement effectué dans les tachygraphes doivent être fixées dans la proposition même et non dans les annexes du règlement. Les principaux aspects du traitement doivent être décrits dans la proposition même, comme les types de données enregistrées dans les tachygraphes et au moyen dappareils de géolocalisation, les destinataires et les périodes de conservation. Les annexes du règlement ne doivent prévoir que les modalités purement techniques des principes généraux énoncés dans le règlement même.
2) Obsolescence des annexes : le CEPD observe que les annexes actuelles sont dépassées, ce qui peut donner lieu à des discordances quant à la manière dont les tachygraphes sont développés par lindustrie. La proposition introduit de nombreuses mises à jour technologiques, pour lesquelles aucune spécification technique nest énoncée dans les annexes actuelles du règlement. Il y a un risque de voir lindustrie développer des cadres non favorables au respect de la vie privée tant que la mise à jour des annexes du règlement est en cours. Le CEPD invite la Commission à actualiser les annexes du règlement dès que possible.
3) Mesures générales devant être mises en uvre par les responsables des traitements, les États membres et les concepteurs de tachygraphes : le CEPD estime que la proposition ne décrit pas à suffisance les exigences de sécurité à respecter pour lutilisation des tachygraphes. Il recommande dinsérer dans la proposition un article spécifique concernant le niveau de sécurité à atteindre à tous les stades du développement et de lutilisation des tachygraphes (non seulement aux stades de la conception et de linstallation, mais aussi et surtout pendant leur utilisation). Cet article doit mettre laccent sur les points suivants :
4) Proportionnalité quant à lutilisation dappareils de géolocalisation et à lenregistrement de données de localisation : le CEPD recommande de préciser les finalités spécifiques et légitimes pour lesquelles la géolocalisation sera mise en uvre en permanence. La proposition doit indiquer clairement que linstallation et lutilisation dappareils ayant pour finalité directe et principale de permettre aux employeurs de contrôler à distance et en temps réel les actions ou les allées et venues de leurs salariés ne sont pas autorisées.
5) Contrôle à distance par les autorités chargées du contrôle : le CEPD considère que le type de données pouvant être échangées par des communications à distance nest pas précisé avec suffisamment de clarté. Il recommande de définir une liste exhaustive de données dont la communication aux autorités chargées du contrôle est autorisée et de veiller à ce que les contrôles à distance ne donnent pas lieu à des sanctions automatiques.
6) Échanges transfrontaliers de données: la version actuelle de la proposition ne contient aucune indication quant à déventuels échanges internationaux de données de tachygraphes. Il convient de préciser dans la proposition si déventuels échanges transfrontaliers de données sont envisagés avec les autorités des pays tiers, auquel cas des garanties appropriées de protection des données seront nécessaires pour assurer un niveau adéquat de protection lorsque des données sont transférées vers ces pays tiers, conformément aux dispositions de la directive 95/46/CE.
7) Utilisation ultérieure des données dans le cadre de systèmes de transport intelligents (STI): il convient de demander aux responsables des traitements de veiller à ce que le traitement ultérieur des données enregistrées dans les tachygraphes et destinées à être utilisées dans des applications STI soit effectué conformément à la directive 95/46/CE, et notamment que les conducteurs professionnels donnent leur consentement explicite et libre à cet effet et que ce traitement ultérieur ne soit pas incompatible avec la finalité initiale de la collecte. Il y a lieu en outre de souligner que laccès aux données enregistrées dans le tachygraphe est limité à celles qui sont strictement nécessaires au traitement dans lapplication STI.
8) Cartes de conducteur : la proposition envisage la fusion des fonctionnalités des cartes de conducteur et des permis de conduire. Lintégration de cette carte au permis de conduire soulève des problèmes de protection des données, notamment au regard du principe de la limitation des finalités et du principe de proportionnalité De plus, les informations sur les cartes de conducteur seront échangées sous forme électronique à travers des registres électroniques nationaux avant la délivrance des cartes de conducteur afin de vérifier que le demandeur nest pas déjà titulaire dune telle carte. Le CEPD note que le rôle de la Commission dans linterconnexion des registres électroniques nest pas suffisamment clair. Il recommande donc :
Le CEPD invite les États membres à consulter les autorités chargées du contrôle de la protection des données avant dadopter des mesures nationales relatives aux tachygraphes, notamment les mesures concernant lutilisation dappareils de géolocalisation, les communications à distance, les interfaces STI et le système TACHOnet.
Pour sassurer que les exigences en matière de protection des données ont été dûment prises en considération par la Commission dans les mesures complémentaires, le CEPD souhaite être inclus à la liste des participants au Forum du tachygraphe et être consulté sur la mise à jour de lannexe I B et la proposition modifiant la directive 2001/126/CE sur le permis de conduire.