Protection des données à caractère personnel dans le contexte des élections au Parlement européen

2018/0336(COD)

OBJECTIF: dissuader les partis politiques européens et les fondations politiques européennes de tirer parti des résultats d’infractions aux règles en matière de protection des données en vue d’influencer délibérément le résultat des élections au Parlement européen.

ACTE PROPOSÉ: Règlement du Parlement européen et du Conseil.

RÔLE DU PARLEMENT EUROPÉEN: le Parlement européen décide conformément à la procédure législative ordinaire sur un pied d’égalité avec le Conseil.

CONTEXTE: les événements récents ont démontré les risques potentiels liés à un usage illicite des données à caractère personnel pour ce qui est des processus électoraux et de la démocratie. En 2018, l’affaire Facebook/Cambridge Analytica concernant le traitement présumé illicite de données d’utilisateurs à caractère personnel que la société Cambridge Analytica avait obtenues de Facebook a suscité de sérieuses inquiétudes quant à l’incidence des atteintes à la protection des données sur les processus électoraux.

Des enquêtes en lien avec cette affaire sont actuellement menées, notamment par l’autorité nationale britannique de contrôle de la protection des données chargée de mener l’enquête au niveau européen. La Federal Trade Commission des États-Unis a également ouvert une enquête. De multiples auditions ont eu lieu au Parlement européen au sujet de cette affaire et de son incidence sur les données à caractère personnel des particuliers au sein de l’Union.

Le règlement (UE, Euratom) n° 1141/2014 a institué un statut juridique européen spécifique pour les partis politiques européens et les fondations politiques européennes et prévoit le financement de ces partis et de ces fondations par le budget général de l’Union européenne. Il établit également une autorité pour les partis politiques européens et les fondations politiques européennes. Cette autorité est notamment chargée d’examiner les cas dans lesquels ces entités sont soupçonnées de ne pas respecter les valeurs fondamentales européennes.

Toutefois, les règles existantes ne permettent pas de décourager et de sanctionner efficacement les violations des règles de protection des données qui sont susceptibles de perturber le débat démocratique et la tenue d’élections libres. La Commission juge donc nécessaire de préserver l’intégrité du processus démocratique européen en infligeant des sanctions financières lorsque les partis politiques européens et les fondations politiques européennes tirent parti d’infractions aux règles en matière de protection des données en vue d’influencer le résultat des élections au Parlement européen.

CONTENU: en vue de garantir que les élections au Parlement européen se déroulent selon des règles démocratiques strictes et dans le plein respect des valeurs européennes de démocratie, d’état de droit et de respect des droits fondamentaux, la Commission propose une modification ciblée du règlement nº 1141/2014, et ce, afin que des sanctions financières puissent être infligées aux fondations ou aux partis politiques européens en cas de violation des règles relatives à la protection des données en vue d'influencer de manière délibérée le résultat des élections européennes.

La proposition prévoit de mettre en place une procédure de vérification permettant, dans certains cas, à l’Autorité de demander au comité de personnalités éminentes indépendantes de déterminer si un parti politique européen ou une fondation politique européenne a délibérément influencé ou tenté d'influencer le résultat des élections au Parlement européen en tirant parti d'une infraction aux règles applicables en matière de protection des données à caractère personnel.  Lorsque le comité constate que tel est le cas, l’Autorité devrait imposer des sanctions effectives, proportionnées et dissuasives. Tout parti ou toute fondation reconnue coupable de violation ne pourrait pas demander un financement au titre du budget général de l'Union européenne pour l'année au cours de laquelle la sanction a été prononcée.

L’Autorité devrait solliciter l’avis du comité au plus tard un mois après la décision rendue par l’autorité de contrôle. Le comité rendrait son avis dans un délai court et raisonnable fixé par l’Autorité.

La nouvelle procédure de vérification étant déclenchée par une autorité de contrôle de la protection des données compétente, il est proposé de permettre un réexamen de la sanction si la décision de l’autorité de contrôle de la protection des données compétente est abrogée ou si le recours contre ladite décision aboutit

Enfin, pour permettre à l’Autorité d’exercer son activité de manière indépendante et efficace, la Commission propose de doter cette dernière d’un personnel permanent et de conférer à son directeur les compétences d’une autorité investie du pouvoir de nomination.

INCIDENCE BUDGÉTAIRE: pour garantir l’efficacité de cette proposition, l’Autorité se verrait dotée de personnel plus permanent dans la mesure où des missions supplémentaires lui sont confiées. L’incidence financière est estimée à 10,1 millions d’EUR (1,43 million d’EUR par an).

Les dispositions pour affecter du personnel de manière plus permanente devraient être prises par un redéploiement des ressources existantes et nécessiteront une modification du tableau des effectifs des institutions qui y contribuent. En conséquence, ces éléments devraient figurer dans la prochaine lettre rectificative au projet de budget 2019.