La Commission a présenté une Communication sur le suivi du Programme de travail pour une meilleure mise en application de la directive sur la protection des données.
Le premier rapport de la Commission sur la mise en œuvre de la directive 95/46/CE, présenté en 2003, concluait qu’il n’était pas opportun de prévoir des modifications législatives, mais que des actions devaient être entreprises et qu’il subsistait une marge de manœuvre considérable pour améliorer l’application de la directive. Le rapport contenait un Programme de travail pour une meilleure mise en application de la directive sur la protection des données. La présente communication examine le travail réalisé dans le cadre de ce programme, évalue la situation actuelle et esquisse les perspectives futures en tant que condition préalable au succès dans une série de domaines d’action, à la lumière de l’article 8 de la Charte européenne des droits fondamentaux, qui reconnaît un droit autonome à la protection des données à caractère personnel.
La Commission estime en particulier que :
- la directive établit un cadre juridique général adéquat dans l’ensemble et techniquement neutre ;
- l’ensemble des règles harmonisées assurant un degré élevé de protection des données à caractère personnel dans l’UE a procuré des avantages considérables aux citoyens, aux entreprises et aux autorités.
- ces règles protègent les particuliers contre la surveillance générale ou les discriminations injustifiées fondées sur les informations les concernant détenues par autrui ;
- la confiance que les consommateurs fondent dans le fait que les données personnelles transmises au cours des transactions ne feront pas l’objet d’une utilisation frauduleuse, est une condition du développement du commerce électronique ;
- les entreprises exercent leurs activités et les administrations coopèrent dans toute la Communauté, sans craindre que leurs activités internationales soient interrompues en raison d’un manque de protection, au départ ou à l’arrivée, des données à caractère personnel qu’elles doivent échanger.
Depuis la publication du rapport, des actions ont été menées dans les dix domaines suivants : 1) discussions avec les États membres et les autorités chargées de la protection des données ; 2) association des pays candidats aux efforts visant à une mise en application de meilleure qualité et plus uniforme de la directive ; 3) amélioration de la notification de l’ensemble des actes légaux transposant la directive et notification des autorisations accordées en vertu de l'article 26, paragraphe 2, de la directive ; 4) Respect de la directive ; 5) notification et publicité des opérations de traitement ; 6) dispositions davantage harmonisées en matière d’information ; 7) simplification des obligations en matière de transferts internationaux ; 8) promotion des technologies renforçant la protection de la vie privée ; 9) promotion de l’autorégulation et des codes de conduite européens ; 10) sensibilisation.
Tous les États membres ont maintenant transposé la directive. Dans l’ensemble, la transposition nationale couvre toutes les dispositions essentielles en se conformant à la directive. Toutefois, certains pays n’ont pas encore procédé à la mise en œuvre correcte de la directive. Une des préoccupations porte sur le respect de l’obligation de laisser les autorités nationales de contrôle chargées de la protection des données agir en toute indépendance et de les doter des pouvoirs et des ressources nécessaires à l’accomplissement de leurs tâches. Les disparités constatées s’expliquent par le fait que la directive contient plusieurs dispositions dont la formulation est trop vague et qui laissent une marge d’appréciation aux États membres dans l’adoption de leur législation nationale. Mais ces disparités ne constituent pas un réel problème pour le marché intérieur selon la Commission.
La Commission entend mener une politique présentant les caractéristiques suivantes :
- La ratification du traité constitutionnel peut ouvrir de nouvelles perspectives : le traité constitutionnel aurait un énorme impact dans ce domaine. Il consacrerait, à l’article II-68, le droit à la protection des données à caractère personnel prévu à l’article 8 de la Charte des droits fondamentaux. Il créerait également à l’article I-51 une base juridique spécifique et autonome permettant à l’Union de légiférer en la matière et ouvrant la voie à l’adoption d’instruments applicables dans tous les secteurs. Toutefois, en attendant que la situation s’éclaircisse en ce qui concerne le processus de ratification du traité constitutionnel, la Commission a souligné la nécessité de recourir à des procédures plus efficaces dans l’espace de liberté, de sécurité et de justice en vertu des traités actuels.
- La directive ne devrait pas être modifiée : la Commission estime que la directive relative à la protection des données constitue un cadre juridique général qui répond aux objectifs initiaux en constituant une garantie suffisante pour le bon fonctionnement du marché intérieur, tout en assurant un degré élevé de protection.
- La Commission veillera à l’application correcte de la directive au niveau national et international et lancera, le cas échéant, des procédures officielles d’infraction afin de garantir des conditions identiques à tous les États membres. Elle préparera également une communication interprétative pour certaines dispositions. Enfin, elle encouragera tous les acteurs concernés à réduire les disparités nationales. Le programme de travail sera ainsi poursuivi et le groupe de travail devra améliorer sa contribution à l’harmonisation des pratiques.
- Relever les défis des nouvelles technologies : les principes de la directive restent valables et ne devraient pas être modifiés. Toutefois, l’important développement des nouvelles technologies d’information et de communication requiert des orientations plus précises quant à la mise en pratique de ces principes. Le groupe de travail a un rôle très important à jouer. Il doit poursuivre le travail réalisé au sein de sa Task Force Internet et continuer à promouvoir une approche commune parmi les autorités nationales de contrôle. Lorsqu’une technologie particulière pose régulièrement problème sous l’angle du respect des principes relatifs à la protection des données et que son utilisation généralisée ou le risque d’intrusion pourraient justifier des mesures plus strictes, la Commission pourrait proposer une législation sectorielle au niveau de l’UE, afin que ces principes s’appliquent aux exigences spécifiques de la technologie en cause. C’est l’approche qui a été retenue dans la directive 2002/58/CE (directive sur la vie privée et les communications électroniques).
- Répondre aux exigences de l’intérêt public, notamment la sécurité : la Commission, en s’efforçant d’atteindre l’équilibre essentiel entre les mesures de sécurité et les mesures de protection des droits fondamentaux non négociables, veille au respect de la protection des données à caractère personnel, telle que garantie à l’article 8 de la Charte des droits fondamentaux. L’UE coopère également avec des partenaires extérieurs. En particulier, l’UE et les États-Unis entretiennent un dialogue transatlantique continu sur l’échange d’informations et la protection des données à caractère personnel à des fins d'application de la loi.