AVIS du Contrôleur européen de la protection des données sur la proposition de la Commission de règlement du Parlement européen et du Conseil concernant la coopération administrative par lintermédiaire du système dinformation du marché intérieur («IMI»).
Le CEPD se félicite que la Commission lait formellement consulté et quune référence à cet avis soit incluse dans les considérants de la proposition.
Le CEPD a une opinion globalement positive sur lIMI. Il soutient lobjectif poursuivi par la Commission dans létablissement dun système électronique pour léchange dinformations et la réglementation de ses aspects qui concernent la protection des données. Le CEPD se réjouit également du fait que la Commission a proposé un instrument juridique horizontal pour lIMI sous la forme dun règlement du Conseil et du Parlement. Il se félicite que la proposition souligne de façon globale les questions les plus pertinentes en matière de protection des données de lIMI.
Toutefois, le CEPD met aussi en garde contre les risques liés à l'établissement d'un système électronique unique centralisé pour de multiples domaines de coopération administrative. Ces risques comprennent, en particulier, i) le fait que davantage de données soient échangées dune façon plus large quil nest strictement indispensable aux fins dune coopération efficace, et ii) que des informations restent plus longtemps que nécessaire dans le système électronique, y compris des données pouvant être obsolètes et inexactes.
La sécurité dun système dinformation accessible dans 27 États membres est également une question délicate, le système noffrant que le niveau de sécurité de son maillon le plus faible dans le réseau.
Le CEPD formule les recommandations suivantes :
Cadre légal pour lIMI : sur cette question le CEPD attire lattention sur deux défis majeurs: i) la nécessité dassurer la cohérence du cadre légal tout en respectant la diversité, et ii) la nécessité de trouver un équilibre entre flexibilité et sécurité juridique :
Délais de conservation:
Évaluation des risques : le règlement doit requérir une évaluation des risques et un examen du plan de sécurité avant chaque élargissement de lIMI à un nouveau domaine politique ou avant lajout dune nouvelle fonctionnalité exerçant un impact sur les données à caractère personnel.
Informations et droit daccès : les dispositions sur les informations aux personnes concernées et les droits daccès doivent être renforcées et doivent encourager une approche plus cohérente.
Surveillance : le CEPD souhaiterait un renforcement des dispositions relatives à la surveillance coordonnée sur certains points et soutiendrait, à cet effet, des dispositions similaires à celles qui sont en place par exemple dans le contexte du système dinformation sur les visas, Schengen II et envisagées pour Eurodac. En ce qui concerne la fréquence des réunions et des audits, le CEPD soutient la proposition dans son approche souple visant à garantir que le règlement fournisse les règles minimales nécessaires pour garantir une coopération efficace sans pour autant créer de charges administratives inutiles.
Pays tiers : le règlement doit veiller à ce que les autorités compétentes ou dautres acteurs externes dun pays tiers qui naccorde pas une protection adéquate ne puissent avoir directement accès à lIMI sauf si des clauses contractuelles appropriées sont en place. Ces clauses doivent être négociées au niveau de lUE.
Contrôle interne : le règlement doit établir un cadre clair pour des mécanismes adéquats de contrôle interne, garantissant le respect de la protection des données et fournissant des éléments de preuve à cet égard (y compris une analyse des risques en matière de sécurité), une politique de protection des données (y compris un plan de sécurité) adoptée sur la base des résultats de ces derniers ainsi que des examens et des audits périodiques.
Enfin, le règlement doit également introduire des garanties spécifiques de respect de la vie privée dès la conception.