AVIS du contrôleur européen de la protection des données (CEPD) sur le paquet de mesures pour une réforme de la protection des données.
Le 25 janvier 2012, la Commission a adopté un paquet de mesures visant à réformer le cadre européen de protection des données incluant :
- la présente proposition de règlement contenant des règles générales de protection des données et
- une proposition de directive sur la protection des données dans le secteur répressif.
Le règlement : le CEPD accueille favorablement la proposition de règlement car elle constitue un grand pas en avant pour le droit à la protection des données en Europe. Les règles proposées renforceront les droits des individus et responsabiliseront davantage les responsables du traitement quant à la manière de traiter les données personnelles. En outre, le rôle et les pouvoirs des autorités nationales de contrôle (séparément et conjointement) se verront réellement renforcés.
Le CEPD salue le fait que l’instrument proposé soit un règlement. Ce dernier sera directement applicable dans les États membres et mettra fin à de nombreuses complexités et incohérences découlant des différentes mesures d’exécution des États membres actuellement en place.
La directive : le CEPD est extrêmement déçu par la proposition de directive pour la protection des données en matière pénale. Il regrette que la Commission ait choisi de réglementer la question dans un instrument autonome qui offre un niveau de protection inadéquat, très inférieur à la proposition de règlement.
Un élément positif de la proposition de directive est le fait qu’elle couvre le traitement national et a dès lors un champ d’application plus large que l’actuelle décision-cadre. Toutefois, cet élargissement n’offre de plus-value que si la directive renforce substantiellement le niveau de protection des données dans ce domaine, ce qui n’est pas le cas.
La principale faiblesse de l’ensemble du paquet tient au fait qu’il ne remédie pas à l’absence d’une approche globale des règles de l’UE en matière de protection des données:
- il ne produit aucun effet sur de nombreux instruments de l’UE en matière de protection des données, tels que les règles de protection des données pour les institutions et organes de l’UE, mais aussi tous les instruments spécifiques adoptés dans le domaine de la coopération policière et judiciaire en matière pénale, tels que la décision de Prüm et les règles relatives à Europol et Eurojust ;
- les deux instruments proposés considérés conjointement ne traitent pas complètement des situations de fait qui relèvent des deux domaines de politique, telles que l’utilisation des données PNR ou de télécommunications à des fins répressives.
Commentaires généraux sur la proposition de règlement : le CEPD formule les observations suivantes :
1°) La relation entre le droit européen et le droit national : la proposition de règlement tend largement à la création d’un seul droit applicable pour la protection des données dans l’UE, il reste cependant davantage de place pour la coexistence et l’interaction entre le droit de l’UE et le droit national que l’on ne pourrait le croire à première vue. Le CEPD est d'avis que le législateur devrait mieux le reconnaître.
2°) De nombreuses dispositions habilitent la Commission à adopter des actes délégués ou d'exécution : le CEPD accueille favorablement cette approche dans la mesure où elle contribue à l'application cohérente du règlement mais émet des réserves quant à la portée des délégations qui concernent des dispositions essentielles. Il estime que plusieurs de ces habilitations devraient être reconsidérées.
3°) Éléments positifs et négatifs : sur un plan détaillé, le CEPD souligne les principaux éléments positifs de la proposition de règlement qui sont:
- la clarification du champ d’application de la proposition de règlement;
- les exigences de transparence accrue envers la personne concernée et le renforcement du droit d’opposition;
- l’obligation générale pour les responsables du traitement de veiller à, et d’être capables de démontrer la conformité aux dispositions du règlement;
- le renforcement de la position et du rôle des autorités de surveillance nationales;
- les principales lignes du mécanisme de contrôle de la cohérence.
Les principaux éléments négatifs de la proposition de règlement sont:
- les nouvelles exceptions au principe de limitation de la finalité;
- les possibilités de restreindre les principes et droits de base;
- l’obligation pour les responsables du traitement de conserver la documentation de toutes les opérations de traitement;
- le transfert de données vers des pays tiers par voie de dérogation;
- le rôle de la Commission dans le mécanisme destiné à garantir la cohérence;
- la nature obligatoire de l’imposition de sanctions administratives.
Commentaires généraux sur la proposition de directive : le CEPD est d'avis que la proposition, dans de nombreux aspects, ne rencontre pas les exigences d'un niveau de protection des données élevé et cohérent. Elle laisse inchangés tous les instruments existants dans le domaine et dans de nombreux cas, les déviations par rapport aux règles établies dans la proposition de règlement ne sont pas du tout justifiés.
Le CEPD souligne que si le domaine répressif exige certaines règles spécifiques, toute déviation des règles générales relatives à la protection des données doit être dûment justifiée, sur la base d’un équilibre approprié entre l’intérêt général dans le contexte répressif et les droits fondamentaux des citoyens.
Le CEPD est en particulier préoccupé par:
- le manque de clarté dans la rédaction du principe de limitation de la finalité;
- l’absence d’une obligation pour les autorités compétentes de démontrer la conformité avec la directive;
- les conditions insuffisantes pour les transferts vers des pays tiers;
- les pouvoirs indûment limités des autorités de contrôle.
Le CEPD formule les recommandations suivantes sur l'ensemble du processus de la réforme:
- annoncer publiquement le calendrier portant sur la deuxième phase du processus de réforme dans les plus brefs délais;
- incorporer les règles pour les institutions et organes européens dans la proposition de règlement ou, à tout le moins, veiller à ce que les règles soient en adéquation avec, et entrent en vigueur lors de l’application de la proposition de règlement;
- présenter dans les plus brefs délais une proposition pour des règles communes pour la politique étrangère et de sécurité commune, fondées sur l’article 39 du traité UE.
Le CEPD formule également une série de recommandations détaillées tant sur la proposition de règlement que sur la proposition de directive.