Recommandations du Contrôleur européen de la protection des données (CEPD) relatives aux options de l'UE en matière de réforme de la protection des données.
Pour rappel, le 24 juin 2015, le Parlement européen, le Conseil et la Commission européenne ont engagé des négociations de codécision («trilogue informel») relatives à la proposition de règlement général sur la protection des données. Les trois institutions se sont engagées à traiter le règlement général sur la protection des données dans le cadre du train de réformes élargi de la protection des données qui inclut la proposition de directive relative aux activités policières et judiciaires.
Le présent avis met à jour l'avis publié en mars 2012 (lequel reste valide) pour soutenir plus directement les positions des colégislateurs et proposer des recommandations spécifiques de façon à permettre aux participants au trilogue de trouver un consensus à temps.
Une rare opportunité : le CEPD rappelle que la réforme de la protection des données revêt une importance capitale :
1°) L'UE est dans le dernier kilomètre d'un marathon visant à réformer ses règles sur les données à caractère personnel. Le règlement général sur la protection des données affectera potentiellement, pour les décennies à venir, toute la population de l'UE, toutes les organisations de l'UE qui traitent des données à caractère personnel et les organisations extérieures à l'UE qui traitent les données à caractère personnel de personnes physiques vivant dans l'EU.
2°) Une protection efficace des données responsabilise les personnes physiques et galvanise les entreprises responsables et les pouvoirs publics. Les législations en vigueur dans ce domaine sont complexes et techniques. Les textes de chacune des institutions prêchent clarté et intelligibilité dans le traitement des données à caractère personnel: le règlement général sur la protection des données doit donc mettre en pratique ce qu'il préconise, en étant aussi clair et compréhensible que possible.
3°) L'UE a besoin d'un nouvel accord sur la protection des données. Le reste du monde suit de près ce qui se passe actuellement. La qualité de la nouvelle législation et la manière dont elle interagit avec les systèmes juridiques et les tendances du monde entier revêtent une importance capitale.
Les recommandations du CEPD : parmi les options qui se présentent sous la forme des textes spécifiques préconisés par les trois institutions, toutes contiennent des dispositions valables, mais chacune peut être améliorée. Les recommandations du CEPD sont inspirées par trois préoccupations majeures:
1) Un meilleur compromis pour les citoyens : pour le CEPD, le point de départ est la dignité de la personne qui transcende les questions de simple conformité juridique. Les principes qui se trouvent au cœur de la protection des données, à savoir l'article 8 de la charte des droits fondamentaux, constituent le point de référence. Dans ce contexte, le CEPD insiste sur les points suivants :
- clarifier la notion d'informations à caractère personnel : les personnes doivent pouvoir exercer plus efficacement leurs droits concernant toute information susceptible de les identifier ou de les distinguer, même si l'information est considérée comme «pseudonymisée»;
- tout traitement de données doit être licite et justifié : par exemple, i) les données à caractère personnel ne devraient être utilisées que de manière compatible avec les fins initiales de collecte ; ii) le consentement constitue un fondement juridique éventuel du traitement, mais il faut empêcher toute contrainte visant à faire en sorte qu'une personne coche des cases lorsqu'elle n'a pas de choix véritable et que le traitement des données n'est pas nécessaire du tout ; iii) l'UE ne doit pas laisser la porte ouverte à un accès direct par des autorités de pays tiers à des données situées dans l'UE;
- une surveillance plus indépendante, plus sûre : i) les autorités doivent être en mesure d'examiner les plaintes et les réclamations introduites par des personnes concernées ou par des organisations et associations ; ii) l’application des droits individuels nécessite un système efficace de responsabilité et d'indemnisation en cas de dommages causés par le traitement illicite des données.
2) Des règles applicables en pratique : chacun des trois textes exige une clarté et une simplicité accrues de la part des responsables du traitement des informations à caractère personnel. Les contraintes techniques doivent être concises et faciles à comprendre pour être correctement mises en œuvre par les responsables du traitement. Cela implique :
- des garanties efficaces, pas des procédures : les recommandations du CEPD visent à trouver des voies de simplification administrative, en réduisant les prescriptions pour la documentation et les formalités superflues. Il est recommandé de ne légiférer qu'en cas de véritable nécessité;
- un meilleur équilibre entre l'intérêt public et la protection des données à caractère personnel : les règles de protection des données ne devraient pas entraver la recherche historique, statistique et scientifique qui sert réellement l'intérêt général;
- de faire confiance aux autorités de contrôle et leur donner les moyens d'agir : ces autorités devaient fournir des orientations aux responsables du traitement de données et élaborer leurs propres règles de procédure internes dans le sens d'une application simplifiée, facilitée du règlement général sur la protection des données par une autorité de contrôle unique (le «guichet unique») proche des citoyens («proximité»).
3) Des règles qui dureront le temps d'une génération : il est raisonnable de supposer que la prochaine grande révision des règles en matière de protection des données n’interviendra peut-être pas avant la fin des années 2030. Longtemps avant cela, on pourra s'attendre à ce que les technologies axées sur les données aient convergé avec les systèmes biométriques, d'intelligence artificielle et de traitement du langage naturel.
Ces technologies posent un défi aux principes de la protection des données. Une réforme orientée vers l'avenir devrait reposer sur la dignité de la personne et être guidée par l'éthique. Elle devrait réduire le déséquilibre entre l'innovation dans la protection des données à caractère personnel et son exploitation, en renforçant l'efficacité des garanties au sein d’une société numérisée.
Face à ces défis, le CEPD :
- estime que la réforme devrait inverser la tendance récente à la surveillance secrète et à la prise de décision sur la base de profils cachés de la personne ; une plus grande transparence des responsables du traitement est préconisée;
- soutient l'introduction des principes de protection des données dès la conception et de protection des données par défaut comme un moyen de lancer des solutions axées sur le marché dans l'économie numérique;
- recommande de permettre un transfert direct des données d'un responsable du traitement à un autre, à la demande de la personne concernée, et d'autoriser les personnes concernées à recevoir une copie des données qu'ils pourront eux-mêmes transférer à un autre responsable du traitement.
Questions en suspens : le CEPD note que l'adoption du train de réformes européen des données sera une réalisation impressionnante mais néanmoins incomplète.
- La directive 2002/58/CE (la «directive vie privée et communications électroniques») devra ainsi être modifiée.
- L'UE exige également un cadre précis pour la confidentialité des communications qui régisse l'ensemble des services permettant les communications, pas seulement les fournisseurs de services de communications électroniques accessibles au public. Cela devra se faire au moyen d'un règlement juridiquement sûr et harmonisé.
À un moment où la confiance des personnes dans les entreprises et les gouvernements a été ébranlée par des révélations sur la surveillance de masse et les violations de données, le CEPD insiste sur la responsabilité considérable des législateurs de l'UE dont les décisions devraient avoir des répercussions au-delà de l'Europe.