AVIS du Contrôleur européen de la protection des données (CEPD) sur les propositions de la Commission concernant une directive concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, et un règlement concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement.
Le CEPD note que si la plupart des dispositions des instruments proposés concernent la poursuite des activités des établissements de crédit, la mise en œuvre et l’application du cadre juridique peut, dans certains cas, porter atteinte aux droits des personnes à l’égard du traitement de leurs données à caractère personnel.
Plusieurs dispositions de la proposition de directive autorisent l’échange d’informations entre les autorités des États membres et, éventuellement, les pays tiers. Ces informations peuvent concerner des personnes, par exemple les membres de la direction des établissements de crédit, leurs employés ou leurs actionnaires. Par ailleurs, en vertu de cette proposition, les autorités compétentes peuvent imposer des sanctions directement à des personnes physiques et sont tenues de publier les sanctions infligées, y compris l’identité des personnes concernées. Elles sont également tenues de mettre en place des mécanismes efficaces pour encourager le signalement des infractions.
La proposition de règlement oblige les établissements de crédit et les entreprises d’investissement à divulguer des informations sur leurs politiques de rémunération, notamment les montants des rémunérations ventilés par catégories de personnel et par échelles salariales.
L’avis du CEPD se concentre sur les aspects suivants du paquet de mesures relatives à la vie privée et à la protection de des données:
1) L’applicabilité de la législation sur la protection des données : tout en notant que le considérant 74 de la proposition de directive contient une référence à la pleine applicabilité de la législation sur la protection des données, le CEPD souligne cependant, l’importance d’insérer une référence à la législation applicable en la matière dans un article de fond des propositions.
2) Les transferts de données à des pays tiers : le CEPD recommande: i) de préciser que les accords conclus avec des pays tiers ou les autorités de pays tiers en vue du transfert de données à caractère personnel doivent être en conformité avec les conditions régissant les transferts de données à caractère personnel vers des pays tiers énoncées au chapitre IV de la directive 95/46/CE et dans le règlement (CE) n° 45/2001; ii) d’insérer également dans la proposition de directive une disposition similaire à celle contenue à l’article 23 de la proposition de règlement du Parlement européen et du Conseil sur les opérations d'initiés et les manipulations de marché (abus de marché).
3) Le secret professionnel et l’utilisation d’informations confidentielles : le CEPD recommande d’étendre l’interdiction de divulgation d’informations confidentielles contenue dans la proposition, aux cas dans lesquels des personnes sont identifiables (et non uniquement des «établissements de crédit»). En d’autres termes, la disposition devrait être reformulée de manière à n’autoriser la divulgation d’informations confidentielles que sous une forme résumée ou agrégée «de façon à ce que les établissements de crédit et les personnes physiques ne puissent pas être identifiés».
4) L’obligation de publication des sanctions : le CEPD est d’avis que la disposition sur l’obligation de publication des sanctions - dans sa formulation actuelle - ne respecte pas le droit fondamental au respect de la vie privée et à la protection des données.
Le législateur devrait évaluer la nécessité du système proposé, vérifier que l’obligation de publication n’excède pas ce qui est nécessaire pour atteindre l’objectif de respect de l’intérêt public poursuivi et qu’il n’existe pas de mesures moins restrictives pour atteindre ce même objectif.
En fonction de l’issue de cette évaluation de la proportionnalité, l’obligation de publication devrait dans tous les cas être soutenue par des garanties adéquates afin de garantir le respect du principe de présomption d’innocence, le droit d’opposition des personnes concernées, la sécurité/l’exactitude des données et leur suppression au terme d’une période de conservation adéquate.
5) Les mécanismes de signalement des violations : l’article 70 de la proposition de directive porte sur les mécanismes de signalement des infractions, également appelés mécanismes internes de dénonciation des dysfonctionnements (whistle-blowing). Le CEPD se félicite de l’inclusion de garanties spécifiques dans la proposition - à détailler au niveau national - au sujet de la protection des personnes signalant une violation présumée, et plus généralement de la protection des données à caractère personnel.
- Le CEPD souligne la nécessité d’insérer une référence spécifique en ce qui concerne la nécessité de respecter la confidentialité de l’identité des dénonciateurs et des informateurs. Il recommande d’ajouter, au paragraphe 2, point b), de l’article 70, la disposition suivante: «l’identité de ces personnes doit être protégée à tous les stades de la procédure, à moins que la divulgation de cette information soit requise en vertu du droit national dans le contexte d’un complément d’enquête ou de procédures judiciaires ultérieures».
- Le CEPD souligne par ailleurs l’importance de prévoir des règles appropriées afin de protéger le droit d’accès des personnes accusées, qui est étroitement lié aux droits de la défense. Le CEPD suggère à cet égard d’ajouter, dans la proposition de directive, une disposition qui impose aux États membres de mettre en place «des procédures adéquates garantissant les droits de la défense de la personne accusée et son droit d’être entendue avant l’adoption d’une décision la concernant, ainsi que le droit d’exercer une voie de recours juridictionnelle effective contre toute décision ou mesure la concernant».
- Enfin, le CEPD se réjouit de constater que l’article 70, paragraphe 2, point c), exige des États membres qu’ils garantissent la protection des données à caractère personnel, tant pour la personne qui signale les infractions que pour la personne physique mise en cause, conformément aux principes consacrés par la directive 95/46/CE. Il suggère en revanche de remplacer les termes «conformément aux principes consacrés par la directive 95/46/CE» par «conformément à la directive 95/46/CE» afin de conférer un caractère plus exhaustif et plus contraignant à la référence à la directive.