AVIS du Contrôleur européen de la protection des données (CEPD) sur la proposition de règlement établissant un portail numérique unique et sur le principe «une fois pour toutes».
Dans le présent avis, formulé à la demande de la Commission et du Parlement, le CEPD se félicite de la proposition de la Commission de moderniser les services administratifs et apprécie que cette dernière se préoccupe de l’impact de sa proposition sur la protection des données à caractère personnel.
Pour rappel, la proposition vise à faciliter les activités transfrontières des citoyens et des entreprises en leur donnant, par le biais d’un portail numérique unique, un accès convivial aux informations, aux procédures et aux services d’assistance et de résolution de problèmes dont ils ont besoin pour exercer leurs droits dans le marché intérieur. Elle est l’un des premiers instruments de l’Union européenne qui fait explicitement référence au principe «une fois pour toutes» et qui le met en œuvre.
Le CEPD saisit cette occasion pour donner un premier aperçu des questions clés liées au principe «une fois pour toutes» en général. Ces questions concernent, en particulier, la base juridique du traitement, la limitation de la finalité et les droits de la personne concernée. Parmi les trois services proposés par le portail, l’avis se concentre sur l’«accès aux procédures» et, notamment, sur les dispositions relatives à l’«échange transfrontière de justificatifs entre autorités compétentes».
Le CEPD insiste sur le fait que pour assurer une mise en œuvre réussie du principe «une fois pour toutes» et permettre un échange transfrontière licite des données, ledit principe doit être appliqué conformément aux principes pertinents de la protection des données.
Dans son avis, le CEPD met en avant les points suivants:
Base juridique du traitement et limitation de la finalité: le CEPD recommande d’ajouter ou plusieurs considérants soient pour préciser que:
- la proposition ne prévoit pas de base juridique pour l’échange de justificatifs et que tout échange doit avoir une base juridique appropriée;
- la proposition ne contient pas de base juridique pour l’utilisation du système technique en vue d’échanger des informations à des fins autres que celles prévues dans les quatre directives citées ou prévues par ailleurs dans le droit national ou de l’Union européenne applicable;
- que la proposition n’a pas pour but de restreindre le principe de la limitation de la finalité au titre du règlement général sur la protection des données (RGPD);
- que les utilisateurs ont le droit de s’opposer au traitement de données à caractère personnel les concernant dans le système technique, en application du RGPD.
Demande expresse de l’utilisateur avant tout transfert de justificatifs entre autorités compétentes: le CEPD recommande que la proposition clarifie (de préférence, dans une disposition de fond):
- ce qu’est une demande «expresse» et dans quelle mesure la demande doit être spécifique;
- si la demande peut être soumise par l’intermédiaire du système technique visé à l’article 12, paragraphe 1;
- quelles sont les conséquences si l’utilisateur choisit de ne pas formuler de «demande expresse» et si une telle demande peut être retirée.
Visualisation avant l’échange: la proposition devrait préciser:
- les choix qui s’offrent à l’utilisateur qui met à profit la possibilité de «visualiser» les données avant l’échange;
- la possibilité pour l’utilisateur i) de visualiser le justificatif en temps utile avant qu’il ne soit accessible au destinataire et ii) de retirer la demande d’échange du justificatif.
Enfin, s’agissant des modifications du règlement concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur («IMI»), le CEPD recommande d’ajouter le RGPD à l’annexe du règlement IMI afin de permettre l’utilisation potentielle de l’IMI aux fins de la protection des données.