Résumé de lavis du Contrôleur européen de
la protection des données relatif à la proposition de
règlement sur les fonds européens de capital-risque et
à la proposition de règlement sur les fonds
dentrepreneuriat social européens.
Le CEPD se
réjouit dêtre consulté par la Commission et
recommande quil soit fait référence à son avis
dans les préambules des propositions de règlements.
Les règlements
proposés sur les fonds européens de capital-risque et sur
les fonds dentrepreneuriat social européens se
complètent mutuellement. Ils visent à résoudre
divers problèmes liés aux deux types de fonds en raison
de la fragmentation et de la dispersion du secteur européen du
capital-risque. En cas dadoption, ces deux propositions
coexisteront en tant qu'actes juridiques autonomes
indépendants l'un de l'autre.
La mise en
uvre et lapplication du cadre juridique pour les fonds
de capital-risque et les fonds
dentrepreneuriat social peuvent, dans certains cas,
porter atteinte aux droits des personnes à légard
du traitement de leurs données à caractère
personnel. Sur la base de ce constat, le CEPD considère
quen ce qui concerne les questions de protection des
données, les règlements proposés sont trop
généraux. Il est difficile de savoir si, dans
certains cas, le traitement des données aura lieu en vertu de
certaines dispositions des règlements proposés
concernant, par exemple, les échanges dinformations, les
pouvoirs denquête dont sont investies les autorités
compétentes et la création de bases de données de
lAutorité européenne des marchés financiers
(AEMF).
En
conséquence, le CEPD formule les recommandations suivantes
:
- insérer dans
les règlements proposés des dispositions soulignant la
pleine applicabilité de la législation existante en
matière de protection des données. Le CEPD
suggère aussi de clarifier la référence à la
directive 95/46/CE en précisant que les dispositions
sappliqueront conformément aux règles nationales
qui mettent en uvre la directive 95/46/CE;
- préciser
le type dinformations à caractère personnel
susceptibles dêtre traitées et
transférées conformément aux règlements
proposés, définir les finalités pour
lesquelles les données à caractère personnel peuvent
être traitées et transférées par les
autorités compétentes concernées et lAEMF et
fixer une durée de conservation proportionnée pour
le traitement susmentionné ou, au moins, dintroduire des
critères précis pour la mise en place de ce dernier;
- limiter
laccès des autorités compétentes aux documents
et aux informations aux cas de violations graves et
identifiées des règlements proposées et
lorsquil existe des raisons de suspecter (qui doivent
être étayées par une preuve initiale concrète)
quune violation a été commise;
- introduire
lexigence pour les autorités compétentes de
demander des documents et des informations par décision
officielle précisant la base juridique et lobjet de
la demande, les informations demandées, le délai dans
lequel les informations doivent être communiquées ainsi
que le droit du destinataire de faire réviser la décision
par un tribunal;
- clarifier la
base juridique des bases de données du gestionnaire des
fonds en introduisant des dispositions plus
détaillées dans les règlements proposés. En
particulier, la disposition portant création de la base de
données doit: i) déterminer la finalité des
traitements et définir les utilisations compatibles; ii)
déterminer les entités (AEMF, autorités
compétentes, Commission) qui auront accès aux
données stockées dans la base de données et qui
pourront les modifier, en précisant les données
concernées; iii) garantir le droit daccès et des
informations appropriées pour toutes les personnes dont les
données à caractère personnel sont susceptibles
dêtre stockées et échangées; iv)
définir la durée de conservation des données à
caractère personnel, en la limitant au minimum nécessaire
à la réalisation de la finalité
déterminée;
- étant
donné que les règlements proposés sont trop
généraux dans les cas déchanges
transfrontaliers dinformations, de pouvoirs
denquête dont sont investies les autorités
compétentes et de création de bases de données AEMF
des gestionnaires de fonds, des éléments essentiels du
traitement des données à caractère personnel ne
devraient pas être décidés par des actes
délégués, mais inclus dans les articles de fond
pertinents des règlements proposés;
- ajouter des
références dans les règlements proposés à
la nécessité de consulter le CEPD pour autant que
les actes délégués et les actes
dexécution concernent le traitement de données
à caractère personnel.
Le CEPD note
quil existe des dispositions comparables à celles
mentionnées dans le présent avis dans plusieurs
propositions en cours dexamen et déventuelles
futures propositions, comme celles qui sont décrites dans les
avis du CEPD concernant le paquet législatif relatif à la
révision de la législation bancaire, aux agences de
notation de crédit, aux marchés dinstruments
financiers (MIFID/MIFIR) et aux abus de marché. En
conséquence, le CEPD recommande de lire le présent avis
en étroite conjonction avec ses avis du 10 février 2012
sur ces initiatives.