Résumé de l'avis du Contrôleur européen de la
protection des données relatif à la proposition de
règlement sur les fonds européens de capital-risque et
à la proposition de règlement sur les fonds
dentrepreneuriat social européens.
Le CEPD se
réjouit dêtre consulté par la Commission et
recommande quil soit fait référence à son avis
dans les préambules des propositions de règlements.
Les règlements
proposés sur les fonds européens de capital-risque et sur
les fonds dentrepreneuriat social européens se
complètent mutuellement. Ils visent à résoudre
divers problèmes liés aux deux types de fonds en raison
de la fragmentation et de la dispersion du secteur européen du
capital-risque. En cas dadoption, ces deux propositions
coexisteront en tant qu'actes juridiques autonomes
indépendants l'un de l'autre.
La mise en
uvre et lapplication du cadre juridique pour les fonds
de capital-risque et les fonds dentrepreneuriat social
peuvent, dans certains cas, porter atteinte aux droits des
personnes à légard du traitement de leurs
données à caractère personnel. Sur la base de ce
constat, le CEPD considère quen ce qui concerne les
questions de protection des données, les règlements
proposés sont trop généraux. Il est difficile de
savoir si, dans certains cas, le traitement des données aura
lieu en vertu de certaines dispositions des règlements
proposés concernant, par exemple, les échanges
dinformations, les pouvoirs denquête dont sont
investies les autorités compétentes et la création
de bases de données de lAutorité européenne
des marchés financiers (AEMF).
En
conséquence, le CEPD formule les recommandations suivantes
:
- insérer dans
les règlements proposés des dispositions soulignant la
pleine applicabilité de la législation existante en
matière de protection des données. Le CEPD
suggère aussi de clarifier la référence à la
directive 95/46/CE en précisant que les dispositions
sappliqueront conformément aux règles nationales
qui mettent en uvre la directive 95/46/CE;
- préciser
le type dinformations à caractère personnel
susceptibles dêtre traitées et
transférées conformément aux règlements
proposés, définir les finalités pour
lesquelles les données à caractère personnel peuvent
être traitées et transférées par les
autorités compétentes concernées et lAEMF et
fixer une durée de conservation proportionnée pour
le traitement susmentionné ou, au moins, dintroduire des
critères précis pour la mise en place de ce dernier;
- limiter
laccès des autorités compétentes aux documents
et aux informations aux cas de violations graves et
identifiées des règlements proposées et
lorsquil existe des raisons de suspecter (qui doivent
être étayées par une preuve initiale concrète)
quune violation a été commise;
- introduire
lexigence pour les autorités compétentes de
demander des documents et des informations par décision
officielle précisant la base juridique et lobjet de
la demande, les informations demandées, le délai dans
lequel les informations doivent être communiquées ainsi
que le droit du destinataire de faire réviser la décision
par un tribunal;
- clarifier la
base juridique des bases de données du gestionnaire des
fonds en introduisant des dispositions plus
détaillées dans les règlements proposés. En
particulier, la disposition portant création de la base de
données doit: i) déterminer la finalité des
traitements et définir les utilisations compatibles; ii)
déterminer les entités (AEMF, autorités
compétentes, Commission) qui auront accès aux
données stockées dans la base de données et qui
pourront les modifier, en précisant les données
concernées; iii) garantir le droit daccès et des
informations appropriées pour toutes les personnes dont les
données à caractère personnel sont susceptibles
dêtre stockées et échangées; iv)
définir la durée de conservation des données à
caractère personnel, en la limitant au minimum nécessaire
à la réalisation de la finalité
déterminée;
- étant
donné que les règlements proposés sont trop
généraux dans les cas déchanges
transfrontaliers dinformations, de pouvoirs
denquête dont sont investies les autorités
compétentes et de création de bases de données AEMF
des gestionnaires de fonds, des éléments essentiels du
traitement des données à caractère personnel ne
devraient pas être décidés par des actes
délégués, mais inclus dans les articles de fond
pertinents des règlements proposés;
- ajouter des
références dans les règlements proposés à
la nécessité de consulter le CEPD pour autant que
les actes délégués et les actes
dexécution concernent le traitement de données
à caractère personnel.
Le CEPD note
quil existe des dispositions comparables à celles
mentionnées dans le présent avis dans plusieurs
propositions en cours dexamen et déventuelles
futures propositions, comme celles qui sont décrites dans les
avis du CEPD concernant le paquet législatif relatif à la
révision de la législation bancaire, aux agences de
notation de crédit, aux marchés dinstruments
financiers (MIFID/MIFIR) et aux abus de marché. En
conséquence, le CEPD recommande de lire le présent avis
en étroite conjonction avec ses avis du 10 février 2012
sur ces initiatives.