AVIS du Contrôleur européen de la protection des données (CEPD) sur la proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE.
Dans l’ensemble, le CEPD considère que la proposition parvient à aligner les règles applicables aux institutions de l’UE sur le règlement général sur la protection des données (RGPD), tout en tenant compte des spécificités du secteur public européen. Il estime que le haut niveau de protection concernant les traitements de données effectués par les institutions de l’UE est globalement maintenu dans la proposition.
Le CEPD estime toutefois que la proposition devrait être améliorée, notamment en ce qui concerne:
Les limitations des droits de la personne concernée: la proposition devrait être modifiée de façon à ce que seuls les actes législatifs adoptés sur la base des traités soient en mesure de limiter les droits fondamentaux.
Le législateur européen est invité à veiller à ce que les éventuelles limitations du droit fondamental au respect de la confidentialité des communications imposées par les institutions de l’UE, dans le cadre de leurs activités, respectent les mêmes normes que celles prévues par le droit de l’Union, tel qu’interprété par la Cour de justice dans ce domaine.
La possibilité pour les institutions de l’UE de recourir, dans certains contextes, à des mécanismes de certification: le CEPD estime que les mécanismes de certification, qui sont déjà utilisés par exemple pour certifier le respect de normes généralement admises, pourraient représenter un instrument utile pour les institutions de l’UE.
En conséquence, des références au recours à la certification devraient être ajoutées aux dispositions concernant la «Responsabilité du responsable du traitement», la «Protection des données dès la conception et protection des données par défaut», ainsi que la «Sécurité».
Autres recommandations: le CEPD salue le fait que la proposition comprenne un article séparé dédié à la mission du CEPD en tant que conseiller des institutions de l’UE. Il suggère toutefois l’ajout d’un considérant dans lequel la Commission réaffirmerait son engagement en faveur de la consultation informelle du CEPD sur les projets de proposition.
Le CEPD estime également que la possibilité d’externaliser la fonction de délégué à la protection des données (DPD) ne convient pas aux institutions de l’UE chargées d’exercer l’autorité publique.
Enfin, le CEPD juge essentiel que les règles révisées deviennent pleinement applicables en même temps que le RGPD, à savoir le 25 mai 2018. Il encourage le législateur de l’UE à trouver un accord sur la proposition le plus rapidement possible, afin de permettre aux institutions de l’UE de bénéficier d’une période de transition raisonnable avant que le nouveau règlement ne devienne applicable en même temps que le RGPD.