AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la proposition d’une directive du Parlement européen et du Conseil relative aux déchets d’équipements électriques et électroniques (DEEE).
Le CEPD n’a pas été consulté sur la proposition susmentionnée comme l’exige l’article 28, paragraphe 2, du règlement (CE) n° 45/2001. De sa propre initiative, le CEPD a par conséquent adopté le présent avis sur la base de l’article 41, paragraphe 2, du même règlement.
Le CEPD n’a aucune observation à faire concernant l’objectif général de la proposition et soutient totalement l’initiative prise, qui souhaite améliorer les politiques favorables à l’environnement adoptées dans le domaine des DEEE.
Toutefois, la proposition met uniquement l’accent sur les risques environnementaux liés à l’élimination des DEEE. Elle ne tient pas compte des risques supplémentaires, pour les personnes physiques et/ou les organisations, pouvant résulter des opérations d’élimination, de réutilisation ou de recyclage des DEEE, en particulier de ceux qui sont liés à la possibilité d’une acquisition inappropriée de données à caractère personnel stockées dans les DEEE, de leur divulgation ou de leur diffusion.
Pertinence de la proposition avec la protection des données : dans son avis, le CEPD souligne que les équipements électriques et électroniques (EEE) constituent un vaste groupe de produits incluant un ensemble varié de supports permettant de stocker des données à caractère personnel - tels que les équipements informatiques et de télécommunications (par ex. ordinateurs individuels, ordinateurs portables, équipements terminaux de communications électroniques).
Dans le domaine des supports de stockage de données électroniques, l’évolution est de plus en plus rapide, notamment en ce qui concerne la capacité et la taille de stockage, et par conséquent les forces du marché entraînent un renouvellement accéléré des EEE (contenant d’importantes quantités de données à caractère personnel souvent sensibles). Il en résulte que non seulement le flux de DEEE est considéré être le flux de déchets qui progresse le plus rapidement dans l’UE, mais aussi qu’en cas d’élimination inappropriée, il existe un risque accru et évident de perte et de dispersion des données à caractère personnel stockées dans ces types d’EEE.
En particulier, parmi les diverses mesures envisagées par la directive, le CEPD estime qu’il est intéressant de souligner celles qui concernent la réutilisation et le recyclage des DEEE. Ces mesures cherchent à empêcher l’élimination des équipements électriques et électroniques avec les déchets mixtes en obligeant les producteurs à assurer l’élimination de la manière spécifiée par la directive.
Ces opérations peuvent présenter le risque, plus grand que par le passé, que ceux qui collectent les DEEE ou qui vendent et achètent les appareils usagés ou recyclés puissent prendre connaissance des données à caractère personnel qui sont stockées dedans. Ces données peuvent souvent être sensibles ou concerner de grands nombres de personnes physiques.
Pour toutes ces raisons, le CEPD considère qu’il est urgent d’informer toutes les parties concernées (utilisateurs et producteurs d’EEE) des risques relatifs aux données à caractère personnel, notamment en phase finale du cycle de vie des EEE. À ce stade, bien que les EEE aient perdu une bonne partie de leur valeur économique, ils sont susceptibles de contenir de grandes quantités de données à caractère personnel et d’avoir par conséquent une forte valeur «intrinsèque» de ce point de vue et/ou d’autres.
Conclusions et recommandations : le CEPD recommande que les autorités de protection des données, en particulier par l’intermédiaire du groupe de travail «Article 29», et le CEPD lui-même collaborent étroitement aux initiatives concernant l’élimination des DEEE grâce à un processus de consultation mené suffisamment tôt avant l’élaboration de mesures pertinentes.
Compte tenu du contexte dans lequel les données à caractère personnel sont traitées, le CEPD suggère que la proposition comporte des dispositions particulières:
- déclarant que la directive relative aux DEEE s’applique sans préjudice de la directive 95/46/CE, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données :
- interdisant la commercialisation d’équipements usagés n’ayant pas été préalablement soumis à des mesures de sécurité appropriées, conformément aux normes techniques les plus modernes, visant à effacer les données à caractère personnel qu’ils sont susceptibles de contenir ;
- concernant le principe du «respect de la vie privée dès la conception» ou de la «sécurité des données dès la conception»: autant que possible, le principe de respect de la vie privée et de protection des données à caractère personnel doit être intégré «par défaut» dans la conception des équipements électriques et électroniques, afin de permettre aux utilisateurs d’effacer - simplement et gratuitement - les données à caractère personnel susceptibles d’être présentes dans ces équipements au moment de leur élimination.