AVIS du Contrôleur européen de la protection des données (CEPD) sur la proposition de règlement établissant un portail numérique unique et sur le principe «une fois pour toutes».
Dans le présent avis, formulé à la demande de la Commission et du Parlement, le CEPD se félicite de la proposition de la Commission de moderniser les services administratifs et apprécie que cette dernière se préoccupe de limpact de sa proposition sur la protection des données à caractère personnel.
Pour rappel, la proposition vise à faciliter les activités transfrontières des citoyens et des entreprises en leur donnant, par le biais dun portail numérique unique, un accès convivial aux informations, aux procédures et aux services dassistance et de résolution de problèmes dont ils ont besoin pour exercer leurs droits dans le marché intérieur. Elle est lun des premiers instruments de lUnion européenne qui fait explicitement référence au principe «une fois pour toutes» et qui le met en uvre.
Le CEPD saisit cette occasion pour donner un premier aperçu des questions clés liées au principe «une fois pour toutes» en général. Ces questions concernent, en particulier, la base juridique du traitement, la limitation de la finalité et les droits de la personne concernée. Parmi les trois services proposés par le portail, lavis se concentre sur l«accès aux procédures» et, notamment, sur les dispositions relatives à l«échange transfrontière de justificatifs entre autorités compétentes».
Le CEPD insiste sur le fait que pour assurer une mise en uvre réussie du principe «une fois pour toutes» et permettre un échange transfrontière licite des données, ledit principe doit être appliqué conformément aux principes pertinents de la protection des données.
Dans son avis, le CEPD met en avant les points suivants:
Base juridique du traitement et limitation de la finalité: le CEPD recommande dajouter ou plusieurs considérants soient pour préciser que:
- la proposition ne prévoit pas de base juridique pour léchange de justificatifs et que tout échange doit avoir une base juridique appropriée;
- la proposition ne contient pas de base juridique pour lutilisation du système technique en vue déchanger des informations à des fins autres que celles prévues dans les quatre directives citées ou prévues par ailleurs dans le droit national ou de lUnion européenne applicable;
- que la proposition na pas pour but de restreindre le principe de la limitation de la finalité au titre du règlement général sur la protection des données (RGPD);
- que les utilisateurs ont le droit de sopposer au traitement de données à caractère personnel les concernant dans le système technique, en application du RGPD.
Demande expresse de lutilisateur avant tout transfert de justificatifs entre autorités compétentes: le CEPD recommande que la proposition clarifie (de préférence, dans une disposition de fond):
- ce quest une demande «expresse» et dans quelle mesure la demande doit être spécifique;
- si la demande peut être soumise par lintermédiaire du système technique visé à larticle 12, paragraphe 1;
- quelles sont les conséquences si lutilisateur choisit de ne pas formuler de «demande expresse» et si une telle demande peut être retirée.
Visualisation avant léchange: la proposition devrait préciser:
- les choix qui soffrent à lutilisateur qui met à profit la possibilité de «visualiser» les données avant léchange;
- la possibilité pour lutilisateur i) de visualiser le justificatif en temps utile avant quil ne soit accessible au destinataire et ii) de retirer la demande déchange du justificatif.
Enfin, sagissant des modifications du règlement concernant la coopération administrative par lintermédiaire du système dinformation du marché intérieur («IMI»), le CEPD recommande dajouter le RGPD à lannexe du règlement IMI afin de permettre lutilisation potentielle de lIMI aux fins de la protection des données.