La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Cornelia ERNST (GUE/NGL, DE) sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE.
La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit.
Champ d’application du règlement: les députés ont précisé que le règlement devrait s’appliquer également aux agences de l’Union menant des activités relevant des chapitres 4 (coopération judiciaire en matière pénale) et 5 (coopération policière) du titre V de la troisième partie du traité FUE, y compris lorsque les actes fondateurs de ces agences établissent un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel.
Les dispositions relatives au traitement spécifique des données contenues dans les actes fondateurs des agences pourraient préciser et compléter la mise en application du règlement.
Transfert de données à caractère personnel entre institutions et organes de l’Union: un tel transfert ne devrait être possible que si les données sont nécessaires à l’exécution légitime de missions relevant de la compétence du destinataire. Le responsable du traitement devrait vérifier la compétence du destinataire et évaluer à titre provisoire la nécessité du transfert de ces données.
Transmission de données à caractère personnel à des destinataires établis dans l’Union: les données à caractère personnel ne pourraient être transmises à des destinataires établis dans l’Union et soumis au règlement général sur la protection des données (règlement (UE) 2016/679) ou à la réglementation nationale adoptée en vertu de la directive (UE) 2016/680 que si le responsable du traitement démontre, sur la base d’une demande motivée du destinataire que la transmission est proportionnée et nécessaire aux fins de servir un intérêt public tel que la transparence ou la bonne administration et après avoir mis manifestement en balance les différents intérêts en présence.
Limitations: la proposition prévoit que des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’exercice des droits de la personne concernée. Les députés ont proposé de supprimer la possibilité pour les institutions, organes et organismes de l’Union de restreindre l’exercice des droits de la personne concernée par voie de règles internes.
Il est également précisé que les actes juridiques adoptés sur la base des traités tendant à limiter l’exercice des droits de la personne concernée devraient être clairs et précis et leur application prévisible pour les personnes qui y sont soumises.
En particulier, de tels actes devaient contenir des dispositions spécifiques relatives, entre autres, i) aux finalités du traitement, ii) à l’étendue des limitations introduites, iii) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites, v) à la détermination du responsable du traitement, vi) aux durées de conservation et aux garanties applicables, vii) aux risques pour les droits et libertés des personnes concernées et viii) au droit des personnes concernées d’être informées de la limitation.
Mécanismes de certification et codes de conduite approuvés: aux termes de la proposition, le responsable du traitement devrait mettre en œuvre des mesures techniques et organisationnelles pour faire en sorte que le traitement soit effectué conformément au règlement et être en mesure de le démontrer.
Les députés ont inséré une disposition stipulant que l’application de mécanismes de certification approuvés comme le prévoit l’article 42 du règlement (UE) 2016/679 pourrait servir à démontrer le respect des obligations incombant au responsable du traitement.
Le caractère approprié du niveau de sécurité de traitement pourrait également être démontré par l’application d’un code de conduite approuvé.
Registre des activités de traitement: les institutions et organes de l’Union devraient être obligés de tenir leurs registres des activités de traitement dans un registre central et de mettre ce registre à la disposition du public.
Contrôle indépendant par le Contrôleur européen de la protection des données (CEPD) : tous les organes et institutions devraient faire l’objet d’un contrôle indépendant par le CEPD. Afin de préserver l’indépendance du CEPD, les députés ont proposé que le Parlement européen et le Conseil nomment, d’un commun accord, le CEPD pour une durée de cinq ans, sur la base d’une liste établie conjointement par le Parlement européen, le Conseil et la Commission à la suite d’un appel public à candidatures.
Le CEPD et les autorités de contrôle nationales, agissant dans les limites de leurs compétences respectives, devraient coopérer dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif et coordonné des systèmes d’information à grande échelle ou des institutions, organes et organismes de l’Union.
Alignement avec le règlement général sur la protection des données: les députés ont présenté un certain nombre d’amendements visant à aligner la présente proposition de règlement avec le règlement général sur la protection des données afin de rationaliser autant que possible ces deux textes et de faire en sorte que l’Union soit tenue aux mêmes normes que les États membres lorsqu’il s’agit de la protection des données.
Les dispositions introduites par les députés portent notamment sur les aspects suivants:
- principes relatifs au traitement des données à caractère personnel opérationnelles: par exemple, données traitées de manière licite et loyale, collectées pour des finalités déterminées, explicites et légitimes, conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire, traitées de façon à garantir une sécurité appropriée des données;
- interdiction du traitement portant sur des catégories particulières de données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale; traitement des données génétiques et biométriques, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique;
- distinction entre différentes catégories de personnes concernées;
- conditions spécifiques applicables au traitement;
- transmission de données à caractère personnel opérationnelles à d’autres institutions et organes de l’Union;
- informations à mettre à la disposition de la personne concernée ou à lui fournir;
- droit d’accès de la personne concernée et limitations du droit d’accès; droit de rectification ou d’effacement;
- transfert de données à caractère personnel opérationnelles à des pays tiers.
Clause de réexamen: le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission devrait faire rapport sur l’application du règlement, accompagné, le cas échéant, des propositions législatives appropriées.