Avis du Contrôleur européen de la protection des données.
Le CEPD accueille favorablement cette proposition dans la mesure où elle vise à favoriser la libre circulation des citoyens et à améliorer le niveau de vie et les conditions d'emploi des citoyens de l'UE qui se déplacent à l'intérieur de l'Union. La coordination des systèmes de sécurité sociale serait d'ailleurs impossible sans le traitement et la transmission de différents types de données à caractère personnel, souvent de nature sensible.
Les principales recommandations adressées au législateur européen sont les suivantes :
- il est essentiel que cet échange accru de données à caractère personnel entre les administrations nationales des États membres assure également un niveau élevé de protection de ces données, garantissant ainsi l'un des droits fondamentaux de l'UE ;
- la proposition s'appuiera sur le cadre harmonisé en matière de protection des données instauré par les dispositions communautaires sur la protection des données à caractère personnel, et en particulier par la directive 95/46/CE et les dispositions législatives nationales prises pour la mettre en œuvre. Le CEPD constate avec satisfaction que c'est ce cadre de protection des données qui est applicable. Toutefois, des questions précises liées à l'application des principes de protection des données dans le cadre de la coordination des systèmes de sécurité sociale devraient être spécialement approfondies ;
- principe de limitation de la finalité : le CEPD estime que la proposition respecte les dispositions fondamentales en matière de protection des données relatives à cette limitation. Il note que l'interdiction d'utiliser des données à caractère personnel à des fins autres que la sécurité sociale n'est pas explicitement établie dans la proposition, mais qu'elle découle de la législation applicable en matière de protection des données. Dans ce contexte, le législateur pourrait envisager de préciser explicitement, dans la proposition, à quelles conditions les données de sécurité sociale peuvent être traitées à des fins différentes ;
- proportionnalité en matière de données traitées, d'entités compétentes et de périodes de conservation : le CEPD souligne que ces données doivent être traitées par les autorités compétentes, pendant une période proportionnée, et que les dédoublements de bases de données doivent être évités. Dans ce contexte, la proposition pourrait être plus précise quant aux modalités de transmission et de conservation des données ;
- fondements juridiques du traitement des données à caractère personnel : le CEPD recommande de veiller à ce que chacun des mécanismes proposés pour le traitement et la transmission des données à caractère personnel se fonde clairement sur une obligation légale spécifique directement établie par la proposition ou sur d'autres motifs légitimes de traitement en vertu des articles 7 et 8 de la directive ;
- informations communiquées aux personnes assurées : le CEPD recommande d'ajouter dans la proposition une référence explicite à la nécessité de communiquer aux personnes concernées des informations précises et appropriées sur le traitement des données à caractère personnel qui les concernent ;
- droits des personnes concernées : le CEPD suggère d’ajouter une référence plus large à l'ensemble des droits des personnes concernées, y compris le droit d'opposition et les mesures de sauvegarde dans le cadre des décisions individuelles automatisées. En outre, il invite le législateur à faciliter l'exercice effectif des droits des personnes concernées dans un contexte transfrontières en précisant que l'autorité compétente qui est en contact direct avec la personne assurée devrait servir de guichet unique non seulement en ce qui concerne les prestations de sécurité sociale, mais aussi pour toutes les données traitées en relation avec ces prestations ;
- mesures de sécurité: le CEPD recommande que le «cadre sécurisé commun» pour la transmission des données tienne compte des recommandations relatives à la protection des données et à la sécurité des traitements. Dans ce contexte, des experts en matière de protection et de sécurité des données devraient être associés comme il se doit aux travaux de la commission administrative compétente.