AVIS du Contrôleur européen de la protection des données sur les propositions législatives relatives au règlement extrajudiciaire et au règlement en ligne des litiges de consommation.
Le 6 décembre 2011, le CEPD a été consulté sur les propositions REL (règlement extrajudiciaire des litiges de consommation) et RLL (règlement en ligne des litiges de consommation).
Le présent avis analyse les traitements de données à caractère personnel prévus par les propositions. Il porte essentiellement sur la proposition RLL, cette dernière supposant un traitement centralisé des données à caractère personnel se rapportant aux litiges, via une plateforme en ligne.
Le CEPD salue l’intégration des principes de la protection des données dans le texte, en particulier en ce qui concerne la limitation des finalités, de l’accès et de la durée de conservation et les mesures de sécurité. Toutefois, il recommande de :
- clarifier les responsabilités des responsables du traitement des données : la partie législative de la proposition RLL devrait au moins préciser, d’une part, à quel responsable du traitement les personnes concernées doivent adresser leurs demandes d’accès, de rectification, de verrouillage et d’effacement et, d’autre part, lequel serait responsable en cas de violation de la législation relative à la protection des données (en cas d’atteinte à la sécurité par exemple). Les personnes concernées devraient également en être informées ;
- clarifier la limitation des droits d’accès : le CEPD se réjouit des limitations des finalités et des droits d’accès aux données. Il constate toutefois qu’il n’est pas possible d’établir clairement si l’ensemble des facilitateurs pour le RLL (54 au minimum) auront accès aux données à caractère personnel se rapportant à tous les litiges. Il recommande donc de préciser que chaque facilitateur pour le RLL aura uniquement accès aux données nécessaires à l’exécution des obligations qui lui incombent au titre du règlement ;
- compléter les dispositions relatives à la sécurité : le CEPD recommande l’ajout d’une référence à la nécessité de procéder à une évaluation des incidences sur la protection de la vie privée (comprenant une évaluation des risques), ainsi qu’à la nécessité de contrôler périodiquement le respect de la législation relative à la protection des données et la sécurité des données et d’établir des rapports sur ces contrôles. En outre, le CEPD souligne l’importance d’intégrer la protection des données et de la vie privée dès le stade de la conception des outils informatiques mis au point pour la mise en place de la plateforme de RLL, notamment en créant des outils permettant aux utilisateurs de mieux protéger les données à caractère personnel (authentification et chiffrement, par exemple) ;
- mentionner la nécessité de consulter le CEPD sur les actes délégués et les actes d’exécution portant sur le traitement de données à caractère personnel.
Le CEPD tient également à rappeler que les traitements de données à caractère personnel effectués dans le cadre de la plateforme de RLL sont susceptibles d’être soumis au contrôle préalable du CEPD et des autorités nationales compétentes en matière de protection des données.