AVIS DU
CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES
sur la proposition de la Commission relative à un
règlement du Parlement européen et du Conseil sur la
confiance pour les transactions électroniques au sein du
marché intérieur (règlement sur les services de
confiance électroniques).
Dans le
présent avis, le CEPD concentre son analyse sur trois
questions principales: a) la façon dont la
proposition aborde la question de la protection des
données; b) les aspects de la protection des
données des systèmes didentification
électronique qui doivent être reconnus et acceptés
par-delà les frontières; et c) les aspects de la
protection des données des services de confiance
électroniques qui doivent être reconnus et acceptés
par-delà les frontières.
En dépit de
son soutien général pour la proposition, le CEPD formule
les recommandations générales suivantes :
- les dispositions
en matière de protection des données ne devraient pas
être limitées aux prestataires de services de confiance,
mais devraient aussi être applicables au traitement de
données à caractère personnel dans les systèmes
didentification électronique décrits au chapitre II
de la proposition;
- le règlement
devrait : i) soit fixer un ensemble commun dexigences de
sécurité concernant les prestataires de services de
confiance et les entités délivrant des identifications
électroniques ; ii) soit autoriser la Commission à
définir au moyen dactes délégués ou de
mesures dexécution, les exigences pour la
sécurité dans les services de confiance
électroniques et les systèmes didentification
électronique ;
- les prestataires
de services de confiance électroniques et les entités
délivrant des identités électroniques devraient
être tenus de fournir aux utilisateurs de leurs services: i)
des informations appropriées sur la collecte, la communication
et le stockage de leurs données ainsi que ii) les moyens de
contrôler leurs données à caractère personnel
et dexercer leurs droits à la protection des
données ;
- des dispositions
habilitant la Commission à spécifier des dispositions
concrètes après ladoption du règlement
proposé par des actes délégués ou
dexécution devraient être incluses dans la
proposition.
En vue
daméliorer dispositions spécifiques sur la
reconnaissance mutuelle des systèmes didentification
électronique,
- le règlement
devrait identifier les données ou les catégories de
données qui seront traitées pour procéder à
lidentification transnationale de personnes physiques ;
- les garanties
requises pour la fourniture de systèmes didentification
devraient au minimum se conformer avec les exigences formulées
à légard des prestataires de services de confiance
qualifiés;
- la proposition
devrait établir des mécanismes visant à créer
un cadre pour linteropérabilité des systèmes
didentification nationaux.
Enfin, le CEPD
formule des recommandations en ce qui concerne les exigences
relatives à la fourniture et à la reconnaissance de
services de confiance électroniques :
- pour tous les
services électroniques, il devrait être
spécifié si des données à caractère
personnel seront traitées ;
- des garanties
devraient être prévues pour éviter tout
chevauchement entre les compétences des organes de
contrôle des services de confiance électroniques et
celles des autorités chargées de la protection des
données ;
- les obligations
imposées aux prestataires de services de confiance
électroniques concernant les violations de données et les
incidents de sécurité doivent concorder avec les
exigences établies dans la directive révisée
«Vie privée» et dans le règlement proposé
sur la protection des données ;
- il faudrait
clarifier la définition des entités privées ou
publiques autorisées à agir en tant que tiers
habilités à effectuer les audits visés ou à
vérifier des dispositifs de création de signature
électronique, ainsi que les critères en vertu desquels
lindépendance de ces organismes sera
évaluée;
- le règlement
devrait être plus précis lorsquil fixe un
délai pour la conservation des données.