Transactions électroniques au sein du marché intérieur: identification électronique et services de confiance

2012/0146(COD)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la proposition de la Commission relative à un règlement du Parlement européen et du Conseil sur la confiance pour les transactions électroniques au sein du marché intérieur (règlement sur les services de confiance électroniques).

Dans le présent avis, le CEPD concentre son analyse sur trois questions principales:  a) la façon dont la proposition aborde la question de la protection des données;  b) les aspects de la protection des données des systèmes d’identification électronique qui doivent être reconnus et acceptés par-delà les frontières; et  c) les aspects de la protection des données des services de confiance électroniques qui doivent être reconnus et acceptés par-delà les frontières.

En dépit de son soutien général pour la proposition, le CEPD formule les recommandations générales suivantes :

  • les dispositions en matière de protection des données ne devraient pas être limitées aux prestataires de services de confiance, mais devraient aussi être applicables au traitement de données à caractère personnel dans les systèmes d’identification électronique décrits au chapitre II de la proposition;
  • le règlement devrait : i) soit fixer un ensemble commun d’exigences de sécurité concernant les prestataires de services de confiance et les entités délivrant des identifications électroniques ; ii) soit autoriser la Commission à définir au moyen d’actes délégués ou de mesures d’exécution, les exigences pour la sécurité dans les services de confiance électroniques et les systèmes d’identification électronique ;
  • les prestataires de services de confiance électroniques et les entités délivrant des identités électroniques devraient être tenus de fournir aux utilisateurs de leurs services: i) des informations appropriées sur la collecte, la communication et le stockage de leurs données ainsi que ii) les moyens de contrôler leurs données à caractère personnel et d’exercer leurs droits à la protection des données ;
  • des dispositions habilitant la Commission à spécifier des dispositions concrètes après l’adoption du règlement proposé par des actes délégués ou d’exécution devraient être incluses dans la proposition.

En vue d’améliorer dispositions spécifiques sur la reconnaissance mutuelle des systèmes d’identification électronique,

  • le règlement devrait identifier les données ou les catégories de données qui seront traitées pour procéder à l’identification transnationale de personnes physiques ;
  • les garanties requises pour la fourniture de systèmes d’identification devraient au minimum se conformer avec les exigences formulées à l’égard des prestataires de services de confiance qualifiés;
  • la proposition devrait établir des mécanismes visant à créer un cadre pour l’interopérabilité des systèmes d’identification nationaux.

Enfin, le CEPD formule des recommandations en ce qui concerne les exigences relatives à la fourniture et à la reconnaissance de services de confiance électroniques :

  • pour tous les services électroniques, il devrait être spécifié si des données à caractère personnel seront traitées ;
  • des garanties devraient être prévues pour éviter tout chevauchement entre les compétences des organes de contrôle des services de confiance électroniques et celles des autorités chargées de la protection des données ;
  • les obligations imposées aux prestataires de services de confiance électroniques concernant les violations de données et les incidents de sécurité doivent concorder avec les exigences établies dans la directive révisée «Vie privée» et dans le règlement proposé sur la protection des données ;
  • il faudrait clarifier la définition des entités privées ou publiques autorisées à agir en tant que tiers habilités à effectuer les audits visés ou à vérifier des dispositifs de création de signature électronique, ainsi que les critères en vertu desquels l’indépendance de ces organismes sera évaluée;
  • le règlement devrait être plus précis lorsqu’il fixe un délai pour la conservation des données.