|
|
REPORT FROM THE COMMISSION - First report on the implementation of the Data Protection Directive (95/46/EC)
|
RAPPORT DE LA COMMISSION - Premier rapport sur la mise en oeuvre de la directive relative à la protection des données (95/46/CE)
|
|
INDEX
|
TABLE DES MATIÈRES
|
|
1. The reasons for the report and the open consultation on the Implementation of directive 95/46/EC
|
1. L'origine du rapport et de la consultation ouverte sur la mise en oeuvre de la directive 95/46/CE
|
|
2. The open review process preceding the preparation of this report
|
2. La procédure d'évaluation publique ayant précédé l'élaboration du présent rapport
|
|
3. The main results of the review
|
3. Les principaux résultats de l'évaluation
|
|
4. The main findings of the review in more detail
|
4. Les principales conclusions de l'évaluation plus en détail
|
|
5. The processing of sound and image data
|
5. Le traitement des données constituées par des sons et des images
|
|
6. work programme for a better implementation of the data protection directive (2003-2004)
|
6. Programme de travail pour une meilleure mise en application de la directive sur la protection des données (2003-2004)
|
|
7. Conclusion
|
7. Conclusions
|
|
|
|
|
1. The reasons for the report and the open consultation on the Implementation of directive 95/46/EC
|
1. L'origine du rapport et de la consultation ouverte sur la mise en oeuvre de la directive 95/46/CE
|
|
'The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32 (1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments.' (Article 33 of EC Directive 95/46)
|
"Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l'article 32, paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l'application de la présente directive et l'assortit, le cas échéant, des propositions de modification appropriées" (article 33 de la directive 95/46/CE).
|
|
The present report is the Commission's response to the above requirement. The Commission has delayed its report by 18 months because the Member States have been slow to transpose the Directive into national law [1].
|
Le présent rapport constitue la réponse de la Commission à cette obligation. La Commission a retardé la publication de ce rapport de dix-huit mois du fait que les États membres avaient pris du retard pour la transposition de la directive dans leur droit national [1].
|
|
[1] The Commission decided in December 1999 to take France, Germany, Ireland, Luxembourg and the Netherlands to the European Court of Justice for failure to notify all the necessary measures to implement Directive 95/46. In 2001 the Netherlands and Germany notified and the Commission closed the cases against them. France notified the data protection law of 1978 so that the proceedings for non notification against that state were dropped. France announced at the same time its intention to pass a new law that is not yet adopted. In the case of Luxembourg, the Commission action has led to this Member State being condemned by the Court of Justice for failure to fulfil its obligations. The Directive was then implemented with a new law that entered into force in 2002. Ireland notified a partial implementation in 2001; a complete bill has however recently been passed. The implementation status in Member States is available at:
|
[1] En décembre 1999, la Commission a décidé de poursuivre la France, l'Allemagne, l'Irlande, le Luxembourg et les Pays-Bas devant la Cour européenne de justice pour défaut de notification de l'ensemble des mesures nécessaires à la mise en oeuvre de la directive 95/46/CE. En 2001, les Pays-Bas et l'Allemagne ayant procédé à cette notification, la Commission a clos l'action judiciaire contre ces deux pays. La France a notifié la loi de 1978 sur la protection des données, de sorte que la procédure contre cet État a été abandonnée. La France a annoncé par la même occasion son intention de faire passer une nouvelle loi, qui n'est cependant pas encore adoptée à ce jour. Dans le cas du Luxembourg, l'action de la Commission a conduit à la condamnation de ce pays par la Cour de justice pour manquement à ses obligations. La directive a alors été mise en oeuvre par le biais d'une nouvelle loi qui est entrée en vigueur en 2002. L'Irlande a notifié une transposition partielle en 2001; une loi de portée exhaustive a cependant été récemment adoptée. La situation actuelle en matière de mise en oeuvre dans les différents États membres est disponible à l'adresse suivante: http://europa.eu.int/comm/internal_market/ privacy/law/implementation_en.htm
|
|
The Commission has approached the preparation of this report from a broad perspective. It has gone beyond the simple examination of the Member States' acts of implementation and has conducted in addition an open public debate, encouraging a wide participation on the part of stakeholders. This approach is not only in line with the Commission's approach to governance at the European level as set out in its White Paper of July 2001 [2]; it is also justified by first, the specific nature of Directive 95/46 and second, the rapid pace of technological development in the information society and other international developments which have brought about significant changes since the Directive was finalised in 1995.
|
Pour préparer le présent rapport, la Commission a choisi une perspective très large. Elle a été plus loin que le simple examen des dispositions législatives adoptées par les États membres pour mettre en oeuvre la directive, lançant un vaste débat public et encourageant le plus grand nombre possible d'intéressés à y participer. Cette approche n'est pas seulement conforme à celle adoptée par la Commission en matière de gouvernance européenne telle que décrite dans son Livre blanc de juillet 2001 [2]; elle se justifie également d'une part par la nature spécifique de la directive 95/46 et d'autre part par l'évolution rapide du progrès technologique dans la société de l'information et les autres développements internationaux qui ont entraîné des changements significatifs depuis que la directive a été finalisée en 1995.
|
|
[2] COM(2001) 428 final http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf
|
[2] COM(2001) 428 final, http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf
|
|
1.1. A Directive with very broad impact
|
1.1. Une directive d'une portée très large
|
|
Directive 95/46 enshrines two of the oldest ambitions of the European integration project: the achievement of an Internal Market (in this case the free movement of personal information) and the protection of fundamental rights and freedoms of individuals. In the Directive, both objectives are equally important.
|
La directive 95/46 consacre deux des plus vieilles ambitions du projet d'intégration européenne: l'achèvement d'un marché intérieur (dans le cas présent, la libre circulation des données personnelles) et la protection des libertés et des droits fondamentaux des individus. Dans la directive, ces deux objectifs sont aussi importants l'un que l'autre.
|
|
In legal terms, however, the existence of the Directive rests on Internal Market grounds. Legislation at the EU level was justified because differences in the way that Member States approached this issue impeded the free flow of personal data between the Member States [3]. Its legal base was thus Article 100a (now Article 95) of the Treaty. However, the proclamation of the Charter of Fundamental Rights of the European Union [4] by the European Parliament, the Council and the Commission in December 2000, and in particular Article 8 thereof which incorporates the right to data protection, has given added emphasis to the fundamental rights dimension of the Directive.
|
Du point de vue légal, toutefois, l'existence de la directive repose sur des considérations relatives au marché intérieur. Cette législation communautaire se justifie par les approches différentes suivies par les États membres dans ce domaine qui empêchent la libre circulation des données à caractère personnel entre eux [3]. Sa base juridique est constitué par l'article 100a (aujourd'hui article 95) du traité. Toutefois, la proclamation de la Charte des droits fondamentaux de l'Union européenne [4] par le Parlement européen, le Conseil et la Commission en décembre 2000, et en particulier son article 8 qui prévoit le droit à la protection des données, a accentué encore la dimension droits fondamentaux de la directive.
|
|
[3] See COM (90) 314 final - SYN 287 AND 288, 13 September 1990, page 4: "The diversity of national approaches and the lack of a system of protection at Community level are an obstacle to completion of the internal market. If the fundamental rights of data subjects, in particular their right to privacy, are not safeguarded at Community level, the cross-border flow of data might be impeded..."
|
[3] Voir COM(90) 314 final - SYN 287 et 288, 13 septembre 1990, page 4: "La diversité des approches nationales et l'absence d'un système de protection au niveau communautaire constituent un obstacle à l'achèvement du marché intérieur. Si les droits fondamentaux des personnes concernées, en particulier leur droit à la vie privée, ne sont pas protégés au niveau communautaire, la circulation transfrontalière des données pourrait être entravée...".
|
|
[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html
|
[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html
|
|
Moreover, by its nature, the Directive has a very broad impact. Every individual is a data subject and entities in every sector of the economy are data controllers. Thus, even if its legal justification is rather specific, its effects are very wide and its implementation must be examined with that in mind.
|
En outre, la directive a, par sa nature, une portée très large. Tout individu est une "personne concernée" et toute entité de n'importe quel secteur de l'économie est un "responsable du traitement". Dès lors, même si la justification juridique de cette directive est plutôt spécifique, ses effets sont très étendus et sa mise en oeuvre doit être considérée en ayant cela présent à l'esprit.
|
|
1.2. Developments in information technology and increased security concerns have sharpened the debate on data protection
|
1.2. Le développement de la société de l'information et les craintes accrues en matière de sécurité ont avivé le débat sur la protection des données
|
|
Since the adoption of the Directive in 1995, there has been an exponential growth in the number of households and businesses connected to the Internet and thus in the number of people leaving an increasing amount of personal information of all kinds on the web. At the same time, the means of collecting personal information has become increasingly sophisticated and less easily detectable: closed circuit TV systems monitoring public places; spyware installed in PCs by web-sites to which they have been connected which collect information about users' browsing habits, information that the sites often sell to others; or the monitoring of employees', including the use of emails and internet, at the workplace.
|
Depuis l'adoption de la directive en 1995, on a assisté à une croissance exponentielle du nombre de ménages et d'entreprises connectés à Internet et donc du nombre de personnes abandonnant un volume toujours plus important de données personnelles de toute nature sur la toile. En même temps, les méthodes de collectes de ces données personnelles sont devenues de plus en plus sophistiquées et de moins en moins facilement détectables: systèmes de télévision en circuit fermé pour surveiller les endroits publics, logiciels espions installés sur les PC par les sites web auxquels ils ont été connectés afin de collecter des informations sur les habitudes de recherche des utilisateurs qui sont souvent vendues par ces sites à des tiers, surveillance du personnel au lieu de travail, y compris de l'usage qu'il fait du courrier électronique et d'Internet.
|
|
This "data explosion" inevitably raises the question whether legislation can fully cope with some of these challenges, especially traditional legislation which has a limited geographical field of application, with physical frontiers which the Internet is rapidly rendering increasingly irrelevant [5].
|
Cette "explosion des données" soulève inévitablement la question de savoir si certains de ces défis peuvent être pleinement relevés par la législation, en particulier la législation traditionnelle dont le champ d'application géographique est limité alors qu'avec Internet, les frontières physiques perdent de plus en plus toute signification [5].
|
|
[5] The report "Future bottlenecks in the information society" prepared for the Joint Research Centre of the Commission and the Institute for Prospective Technological Studies in June 2001 concludes that there are some emerging areas that do not fit easily with the provisions of the Directive and that it may therefore be necessary to revise it in the future. At the same time, the report notes that "although we have the Directive implemented in all Member States, there is increasing social anxiety with regard to the abuse and misuse of personal data within on-line information systems". Evidence gathered during the preparation of this report lends some support to this conclusion.
|
[5] Le rapport intitulé "Future bottlenecks in the information society" (Futurs goulots d'étranglement de la société de l'information") élaboré par l'Institut de prospective technologique du Centre commun de recherche de la Commission a conclu à l'existence d'un certain nombre de domaines émergeants qui n'entrent pas facilement dans le champ d'application de la directive et que, par conséquent, il pourrait s'avérer indispensable de revoir celle-ci à l'avenir. En même temps, le rapport note que "bien que la directive soit mise en oeuvre dans tous les États membres, le public s'inquiète de plus en plus de l'utilisation abusive ou frauduleuse des données à caractère personnel dans le cadre des systèmes d'information en ligne". Les preuves collectées à ce sujet dans le cadre de la préparation du présent rapport viennent dans une certaine mesure étayer cette conclusion. http://www.jrc.es/ FutureBottlenecksStudy.pdf
|
|
Notably as a response to technological developments, Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector [6] translated the principles set out in Directive 95/46/EC into specific rules for the telecommunications sector. Directive 2002/58/EC on privacy and electronic communications of 12 July 2002 [7] has recently updated Directive 97/66/EC to reflect developments in the markets and technologies for electronic communications services, such as the Internet, so as to provide an equal level of protection of personal data and privacy, regardless of the technologies used.
|
En réponse aux développements technologiques, la directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications [6] a traduit les principes fixés dans la directive 95/46/CE en règles spécifiques pour le secteur des télécommunications. La directive 2002/58/CE du 12 juillet 2002 sur la vie privée et les communications électroniques [7] a récemment mis à jour la directive 97/66/CE de manière à refléter les développements intervenus sur les marchés dans les technologies des services de communications électroniques comme, par exemple, Internet, afin de fournir un niveau de protection équivalent des données personnelles et de la vie privée, quelle que soit la technologie utilisée.
|
|
[6] OJ No L 24, 30.1.1998, p. 1-8
|
[6] JO n° L 24, 30.1.1998, p. 1-8.
|
|
[7] OJ No L 201, 31 July 2002, p. 37-47. Member States have until 31 October 2003 to transpose the new Directive into national law.
|
[7] JO n° L 201, 31.07.2002, p. 37-47. Les États membres ont jusqu'au 31 octobre 2003 pour transposer cette nouvelle directive dans leur droit national.
|
|
The emergence of a knowledge based economy combined with technological progress and the growing role attributed to human capital have intensified the collection of workers' personal data in the employment context. These developments gave rise to a number of concerns and risks and brought the issue of effective protection of workers' personal data into focus. The Commission noted, in its second stage consultation document addressed to the European social partners in October 2002, that there is scope for EU legislative action under Article 137 (2) of the Treaty, aiming at improving working conditions by establishing a European framework of principles and rules in this field. The Commission is currently reflecting on the follow-up to this consultation and intends to decide thereon before the end of 2003. Such a European framework would build on the existing general principles of Directive 95/46 EC while supplementing and clarifying these principles in the employment context.
|
Combinée au progrès technologique et au rôle croissant attribué au capital humain, l'émergence d'une économie basée sur la connaissance a intensifié la collecte de données à caractère personnel sur les travailleurs dans le contexte de l'emploi. Cette évolution a mis en avant un certain nombre de préoccupations et de risques et a attiré l'attention sur la question d'une protection effective des données personnelles sur les travailleurs. Dans son document adressé aux partenaires sociaux européens en octobre 2002 pour la seconde phase de consultation, la Commission a noté que la possibilité pouvait être envisagée d'une action législative communautaire en vertu de l'article 137, paragraphe 2, du traité visant à améliorer les conditions de travail en créant un cadre européen des principes et des règles dans ce domaine. La Commission réfléchit actuellement au suivi à donner à cette consultation et devrait prendre une décision à ce sujet avant la fin 2003. Ce cadre européen viserait à clarifier et à compléter les principes généraux existants de la directive 95/46/CE dans le contexte de l'emploi.
|
|
As regards consumer credit, the Commission has set out, in its proposal for a European Parliament and Council Directive on the harmonisation of laws, regulations and administrative provisions of the Member States concerning credit for consumers [8], some specific provisions on data protection aimed at further strengthening the protection of consumers.
|
En ce qui concerne le crédit à la consommation, la Commission a prévu, dans sa proposition de directive du Parlement européen et du Conseil relative à l'harmonisation des dispositions législatives, réglementaires et administratives des États membres en matière de crédit aux consommateurs [8], un certain nombre de dispositions sur la protection des données visant à renforcer davantage la protection des consommateurs.
|
|
[8] COM (2002) 443 final of 11.09.2002
|
[8] COM (2002) 443 final du 11.09.2002.
|
|
At the same time, increased concerns about security, especially following the events of 11 September 2001, have put civil liberties in general and the rights to privacy and the protection of personal data in particular under some pressure. This is neither new nor surprising. The European Court for Human Rights found it necessary to issue the following warning in 1978: "States may not..., in the name of the struggle against espionage and terrorism, adopt whatever measures they deem appropriate... the danger (is that) of undermining or even destroying democracy on the ground of defending it". [9]
|
En même temps, les préoccupations croissantes en matière de sécurité, notamment à la suite des attentats du 11 septembre 2001, ont quelque peu mis à mal les libertés publiques en général et les droits à la protection de la vie privée et des données à caractère personnel en particulier. Ce n'est ni nouveau, ni surprenant. Déjà en 1978, la Cour européenne des droits de l'homme avait estimé nécessaire de diffuser l'avertissement suivant: "Les États ne devraient pas..., au nom de la lutte contre l'espionnage et le terrorisme, adopter n'importe quelle mesure qu'ils jugent appropriée... le danger étant d'affaiblir ou même de détruire la démocratie au motif de la défendre" [9].
|
|
[9] Klass and Others v. Germany judgment of 6 September 1978, Series A no. 28
|
[9] Klass et autres contre l'Allemagne, jugement du 6 septembre 1978, séries A n° 28.
|
|
The Directive does not of course apply to the processing of personal data in the course of so-called "third pillar" activities [10] and data protection in these areas is not therefore covered by this report. The same distinction is however often not made in Member States laws. This raises a number of questions and problems, which have in particular been highlighted by the European Parliament and which deserve further debate.
|
La directive ne s'applique naturellement pas au traitement des données personnelles au cours desdites activités du "troisième pilier" [10] et la protection des données dans ce secteur n'est pour cette raison pas couverte par ce rapport. La même distinction n'est pourtant pas toujours fait au niveau des lois des Etats membres. Ceci soulève un certain nombre de questions et de problèmes qui ont été particulièrement souligné par le Parlement européen et qui méritent un débat ultérieur.
|
|
[10] Article 3.2. first indent excludes from the scope of the Directive "activity falling outside the scope of Community law... and in any case processing operations concerning public security, defence, State security (including the public well-being of the State when the processing operations relate to State security matters) and the activities of the States in areas of criminal law".
|
[10] Article 3.2. premier paragraphe exclue du champ d'application "mise en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire... et en tout état de cause aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'Etat (y compris le bien-être économique de l'Etat lorsque ces traitements sont liés à des questions de sûreté de l'Etat) et les activités de l'Etat à des domaines du droit pénal."
|
|
|
|
|
2. The open review process preceding the preparation of this report
|
2. La procédure d'évaluation publique ayant précédé l'élaboration du présent rapport
|
|
Against the above background, the Commission sought to organise an open debate with the widest possible participation to accompany its review of the implementation of the Directive. All interested parties - governments, institutions, business and consumer associations, even individual companies and citizens - have been given the opportunity to participate and express their views [11]. The Commission regards this process as positive. It has enriched the sources of information on which the Commission has drawn for this report and the recommendations for future action that it makes. It has also confirmed the shift in opinion that had already been discerned among data controllers in general [12] and representatives of the business community in particular: data controllers are now constructively engaged in a dialogue about how to ensure the effective protection of personal data in an efficient way, instead of opposing regulation in this field outright.
|
Partant du contexte précité, la Commission a cherché à organiser un débat public le plus large possible pour étayer son évaluation de la mise en oeuvre de la directive. Toutes les parties intéressées - gouvernements, institutions, fédérations d'entreprises, associations de consommateur et même entreprises ou citoyens individuels - ont eu la possibilité de participer à l'exercice et de faire valoir leur opinion [11]. La Commission considère ce processus de façon positive. Il lui a permis d'enrichir les sources d'information sur lesquelles elle se base pour établir son rapport et pour formuler ses recommandations d'actions futures. Il a également confirmé le changement d'opinion qui avait déjà été identifié au sein des responsables du traitement en général [12] et des représentants des entreprises en particulier: plutôt que de s'opposer catégoriquement à toute réglementation dans ce domaine, les responsables du traitement participent aujourd'hui de façon constructive au débat sur la manière de garantir de façon efficace la protection effective des données à caractère personnel.
|
|
[11] The Commission addressed questions to Member State governments and separately to supervisory authorities; commissioned two studies by academic experts; issued a general invitation to make contributions published in the Official Journal and on the Commission's web-site; placed two questionnaires on its web-site for over two months, one aimed at data controllers and the other at data subjects; held an international conference at which a wide range of issues were discussed in six separate workshops.
|
[11] La Commission a posé des questions aux gouvernements des États membres et, séparément, aux autorités de contrôle, a commandé deux études auprès d'experts universitaires, a diffusé un appel général aux contributions publié au Journal officiel et sur son site web, a mis à disposition deux questionnaires sur son site web pendant plus de deux mois, le premier destiné aux responsables du traitement et l'autre aux personnes concernées, et a organisé une conférence internationale au cours de laquelle les problèmes les plus divers ont été discutés au sein de six ateliers séparés.
|
|
[12] Although this report usually refers to data controllers as "Industry" or "business representatives" (because they are those that most have contributed to the debates), public authorities carrying out activities within the scope of Community law are also data controllers and of course the recommendations and observations contained in this report also concern them.
|
[12] Même si le présent rapport fait généralement référence aux responsables du traitement en les qualifiant "d'industrie" ou de "représentants des entreprises" (parce qu'il s'agit là de ceux qui ont le plus contribué au débat), les autorités publiques exercant des activités couvertes par la législation communautaire sont également des responsables du traitement et il va de soi que les recommandations et observations contenues dans le présent rapport les concernent également.
|
|
The Commission regrets, on the other hand, the limited response of consumer organisations to the consultation process. [13]
|
La Commission regrette par contre la participation limitée des organisations de consommateurs au processus de consultation [13].
|
|
[13] Only BEUC, the European Consumer's Organisation, submitted a position paper, stating i.al. that in response to those who have argued that the Directive needs to be adapted to the imperatives of the online environment, in their view it is the online environment that needs to be adapted to ensure full respect of the principles of the Directive.
|
[13] Seul le BEUC, le Bureau européen des unions de consommateurs, a déposé un mémorandum qui, entre autres, répondant à ceux qui avancent que la directive doit être adaptée aux impératifs de l'environnement en ligne, pose qu'à son avis, c'est l'environnement en ligne qui doit être adapté de manière à pleinement tenir compte des principes de la directive.
|
|
This report summarises the Commission's findings in the light of the input it has gathered and its recommendations for action. The Commission considers however that this can only be regarded as the first step in a longer process.
|
Le présent rapport synthétise les conclusions que la Commission a tirées de l'ensemble des informations collectées et ses recommandations d'actions futures. La Commission considère toutefois qu'il ne peut s'agir là que d'une première étape d'un processus à plus long terme.
|
|
|
3. Les principaux résultats de l'évaluation
|
|
3. The main results of the review
|
3.1. Arguments pour et contre la modification de la directive
|
|
3.1. For and against the amendment of the directive
|
La Commission considère que, globalement, les résultats de l'évaluation plaident plutôt contre toute modification de la directive à ce stade.
|
|
The Commission considers that results of the review on balance militate against proposing modifications to the Directive at this stage.
|
Dans le cadre des consultations qui ont été menées, peu de contributeurs ont exclusivement plaidé pour une révision de la directive. L'exception la plus notable est constituée par les propositions détaillées de modifications soumises conjointement par l'Autriche, la Suède, la Finlande et le Royaume-Uni [14]. Ces propositions de modifications concernent seulement un petit nombre de dispositions (essentiellement l'article 4 qui détermine le droit applicable, l'article 8 qui concerne les données à caractère sensible, l'article 12 relatif au droit d'accès, l'article 18 relatif à la notification et les articles 25 et 26 sur le transfert de données vers des pays tiers), laissant inchangés la plupart des dispositions et l'ensemble des principes de la directive. Les difficultés spécifiques que posent ces dispositions et certaines autres seront examinées plus en détail plus loin dans le présent rapport.
|
|
In the course of the consultations conducted, few contributors explicitly advocated the modification of the Directive. The most notable exception was the detailed proposals for amendments submitted jointly by Austria, Sweden, Finland and the UK [14]. These proposals for amendments concerned only a small number of provisions (notably Article 4 which determines the applicable law, Article 8 on sensitive data, Article 12 on the right of access, Article 18 on notification and Articles 25 and 26 on transfers to third countries), leaving most of the provisions and all of the principles of the Directive untouched. The specific difficulties arising from these and some other provisions will be looked at in more detail later in this report.
|
[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm. Les Pays-Bas ont ensuite adhéré à ces propositions.
|
|
[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm. The Netherlands adhered to these proposals at a later stage.
|
La Commission estime qu'il ne serait pas opportun de formuler des propositions de modifications de la directive dans un avenir immédiat pour les raisons générales suivantes:
|
|
The Commission believes that the following general considerations make it unwise to make proposals to amend this Directive in the immediate future:
|
- l'expérience acquise avec l'application de la directive reste à ce jour très limitée. Seuls quelques États membres ont mis en oeuvre la directive à temps. La plupart des États membres ont notifié des mesures de mise en oeuvre à la Commission seulement en 2000 et en 2001, tandis que l'Irlande n'a pas encore notifié sa mise en oeuvre récente. Une importante législation de mise en application est toujours en cours de discussion dans certains États membres. L'expérience acquise n'est donc pas suffisante pour le dépôt d'une proposition de directive révisée;
|
|
- Experience with the implementation of the Directive is so far very limited. Only few Member States implemented the Directive on time. Most Member States only notified implementing measures to the Commission in the years 2000 and 2001, and Ireland has still not notified its recent implementation. Important implementation legislation is still pending in some Member States. This constitutes an inadequate basis of experience for a proposal for a revised Directive.
|
- la plupart des difficultés qui ont été identifiées au cours de l'évaluation peuvent être examinées et résolues sans modifier la directive. Dans certains cas, lorsque les problèmes découlent d'une mise en oeuvre incorrecte de la directive, ils doivent être résolus par une modification spécifique de la législation de l'État membre concerné. Dans d'autres, les marges de manoeuvre que laisse la directive permettent aux autorités de contrôle de collaborer étroitement en vue d'atteindre la convergence nécessaire pour surmonter les difficultés découlant de pratiques qui diffèrent trop largement d'un État membre à l'autre. Dans tous les cas, ces actions devraient produire des effets plus rapidement qu'une modification de la directive et il conviendrait dès lors d'exploiter d'abord pleinement ces possibilités;
|
|
- Many of the difficulties that have been identified during the review can be addressed and resolved without amending the Directive. In some cases, where problems are caused by incorrect implementation of the Directive, they must be solved by specific modifications of Member State law. In others, the margins of manoeuvre allowed by the Directive permit closer co-operation among supervisory authorities to achieve the convergence necessary to overcome difficulties arising from practices that diverge too widely from Member State to Member State. In any event, such means are likely to take effect more quickly than would an amendment of the Directive and so should be fully exploited first.
|
- lorsque des modifications ont été proposées par des parties intéressées, le but était souvent de réduire les contraintes pour les responsables du traitement. S'il s'agit là d'une fin légitime en soi et, en fait, d'un but auquel la Commission adhère, celle-ci croit néanmoins qu'un grand nombre des propositions formulées impliqueraient également une diminution du niveau de protection offert. La Commission estime que tout changement qui pourrait être considéré en temps opportun devrait viser à maintenir le même niveau de protection et devrait rester cohérent avec le cadre global que fournissent les instruments internationaux existants [15].
|
|
- Where amendments have been proposed by stakeholders, the aim is often the reduction of compliance burdens for data controllers. While this is a legitimate end in itself and indeed one that the Commission espouses, the Commission believes that many of the proposals would also involve a reduction in the level of protection provided for. The Commission believes that any changes that might in due course be considered should aim to maintain the same level of protection and must be consistent with the overall framework provided by existing international instruments [15].
|
[15] Lors de la séance de clôture de la conférence sur la mise en oeuvre de la directive, le Commissaire Bolkestein s'est exprimé ainsi: "Quand il s'agit de mener une politique dans le domaine de la protection des données, les choses sont probablement tout sauf simples (...). Pour rédiger son rapport, la Commission devra ... garder présent à l'esprit le vaste cadre juridique et politique, en particulier les principes de la convention 108 du Conseil de l'Europe".
|
|
[15] In the words of Commissioner Bolkestein at the closing session of the Conference on the implementation of the Directive: "There is certainly no such thing as a clean sheet of paper when it comes to making policy in the field of data protection (...) In drafting its report the Commission will ... need to bear in mind the broader legal and political framework, in particular the principles of Convention 108 of the Council of Europe"
|
Après avoir discuté avec les États membres, la Commission prend acte du fait qu'une large majorité de ceux-ci et, également, des autorités nationales de contrôle, partagent son opinion selon laquelle il n'est ni nécessaire ni désirable au stade actuel de modifier la directive.
|
|
Following discussions with the Member States, the Commission notes its view that a modification of the Directive is neither necessary nor desirable at present is shared by a comfortable majority of Member States and also of national supervisory authorities.
|
La Commission estime qu'un certain nombre des questions qui sont apparues et qui ne font ici l'objet que d'une analyse succincte doivent être approfondies davantage et pourraient, en temps opportun, constituer la base d'une proposition de révision de la directive. Semblable proposition pourrait bénéficier de toute l'expérience qui sera acquise entre-temps en matière de mise en oeuvre de la directive.
|
|
The Commission considers that some of the issues that have emerged and which are here only the subject of a preliminary analysis need to be further analysed and may need in due course to be the subject of a proposal to revise the Directive. Such a proposal would benefit from the greater experience of the Directive's implementation which will have been gained in the meantime.
|
En outre, ainsi qu'expliqué plus haut, il subsiste une marge de manoeuvre considérable quand il s'agit d'améliorer la mise en oeuvre de la directive actuelle qui, si elle était exploitée, pourrait résoudre un certain nombre des difficultés identifiées pendant l'évaluation et dont certaines sont attribuées, à tort, à la directive elle-même. L'attention de la Commission s'est portée et continuera à se porter plus particulièrement sur les domaines dans lesquels la législation communautaire n'est manifestement pas respectée et sur des domaines où les divergences d'interprétation et/ou de pratiques posent des difficultés au sein du marché intérieur.
|
|
Moreover, as stated above, there is considerable scope for improvement in the implementation of the present Directive which is likely to resolve a number of the difficulties identified during the review, some of them wrongly attributed to the Directive itself. The Commission's attention has been and will continue to be focussed in particular on areas where Community law is clearly being breached and on areas where divergent interpretations and/or practices are causing difficulties in the Internal Market.
|
La Commission considère également comme prioritaire une application harmonieuse des règles relatives au transfert de données vers des pays tiers dans la perspective de faciliter les transferts légitimes et d'éviter des obstacles ou complications inutiles.
|
|
The Commission also considers as a priority the harmonious application of the rules relating to the transfer of data to third countries, with a view to facilitating legitimate transfers and avoiding unnecessary barriers or complexities.
|
3.2. Évaluation globale de la mise en oeuvre de la directive dans les États membres; le problème des divergences entre les législations des États membres
|
|
3.2. Overall assessment of the implementation of the directive in the Member States. The problem of the divergences between the Member States' legislation.
|
Sur la base des informations collectées, les services de la Commission ont procédé à une analyse minutieuse de la mise en oeuvre dans les quinze États membres. À cet égard, la collaboration des États membres et des autorités nationales de contrôle s'est avérée être particulièrement précieuse. Les résultats préliminaires de cette analyse sont exposés dans le présent rapport et dans une annexe technique qui sera publiée séparément; cependant, le processus de collecte des informations et d'analyse de la mise en oeuvre dans les États membres devra être poursuivi au cours de l'année 2003.
|
|
The Commission's services have made a thorough analysis of the implementation in the fifteen Member States on the basis of the information collected. The co-operation of the Member States and the national supervisory authorities in this regard has been of great help. The initial results of this analysis are contained in this report and in a technical annex that will be published separately, but the process of collection of information and analysis of the implementation in the Member States will need to continue during 2003.
|
|
|
|
RÉSULTATS DES QUESTIONNAIRES EN LIGNE
|
|
RESULTS FROM THE ON-LINE QUESTIONNAIRES
|
En utilisant l'outil de consultation en ligne EIP (Élaboration interactive des politiques), la Commission a placé deux questionnaires sur son site web en juin et a invité les "personnes concernées" (consultation publique) et les "responsables du traitement" (groupe cible) à exprimer leur opinion sur différents aspects de la protection des données. À la clôture de la consultation, 9 156 personnes et 982 responsables du traitement avaient répondu. Les résultats complets de cet exercice sont disponibles à l'adresse suivante: http://europa.eu.int/comm/internal_market/ en/privacy/lawreport/consultation_en.hm
|
|
Using Inter-Active Policy Making on-line consultation-tool, the Commission placed two questionnaires on its web-site in June and invited data subjects (public consultation) and data controllers (target group) to give their views on various aspects of data protection. By the time the questionnaires were closed, 9156 individuals and 982 data controllers had replied. The full results of the consultations are available at:
|
La Commission considère comme particulièrement intéressants les résultats suivants:
|
|
http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm
|
. bien que la directive sur la protection des données prévoit des normes de protection élevées, la plupart des individus (4 113 sur 9 156, soit 44,9 %) considèrent que le niveau de protection est minimum;
|
|
The Commission finds the following results to be of particular interest:
|
. 81 % des individus considèrent que le niveau de sensibilisation à la question de la protection des données est insuffisant, mauvais ou très mauvais, alors que seulement 10,3 % pensent qu'il est suffisant et 3,46 % à peine qu'il est bon ou très bon. Les responsables du traitement ont une opinion quasiment aussi négative: la plupart (30 %) pensent que la sensibilisation du citoyen à la question de la protection des données est insuffisante, tandis que 2,95 % seulement estiment que le niveau est très bon;
|
|
- Although the Data Protection Directive incorporates high standards of protection, most individuals (4113 out of 9156 or 44.9%) considered the level of protection a minimum.
|
. les entreprises acceptent aujourd'hui plus largement les règles en matière de protection des données. C'est ainsi, par exemple, que 69,1 % des répondants (responsables du traitement) considèrent que les contraintes en matière de protection des données sont indispensables dans notre société, alors que 2,64 % seulement les trouvent complètement inutiles et voudraient qu'elles soient supprimées;
|
|
- 81% of individuals thought the level of awareness about data protection was insufficient, bad or very bad, whereas only 10.3% thought it was sufficient and only 3.46% thought it was good or very good. Among controllers there was an almost equally negative view on awareness among citizens: Most of the respondents (30%) thought that citizens' awareness about data protection is insufficient whilst only 2.95% thought that the level was very good.
|
. une large majorité des responsables du traitement ayant répondu au questionnaire (62,1 %) considèrent que répondre aux demandes formulées par les individus d'accéder à leurs données personnelles n'implique pas pour eux des efforts importants au niveau organisationnel. En réalité, la plupart des responsables du traitement ayant répondu au questionnaire soit ne disposaient d'aucune donnée, soit avaient reçu moins de 10 demandes au cours de l'année 2001.
|
|
- There is greater acceptance of data protection rules now among businesses. For example, 69.1% of the respondents (data controllers) considered data protection requirements necessary in our society whilst only a 2.64% regarded them as completely unnecessary and needing to be removed.
|
La Commission reconnaît que ces résultats ne peuvent être considérés comme aussi représentatifs que ne le seraient ceux d'une enquête basée sur un échantillon choisi de manière scientifique. Elle propose de mener une autre enquête en 2003, à la fois pour tester la fiabilité des résultats du questionnaire ouvert et pour établir une référence par rapport à laquelle mesurer à l'avenir l'évolution des différents indicateurs ou opinions.
|
|
- A large majority of the data controllers that responded to the questionnaire (62.1%) did not consider that responding to requests from individuals for access to their personal data involved an important effort for their organisation. Indeed, most of the data controllers responding to the questionnaire either did not have figures available or received fewer than 10 requests during the year 2001.
|
|
|
The Commission recognises that these results cannot be considered representative in the way that survey results based on a scientifically selected sample can. The Commission proposes to conduct another survey in 2003, both to test the reliability of the results of the open questionnaire and to establish a yardstick against which to measure the evolution of various views or indicators in the future.
|
Mise en oeuvre tardive
|
|
|
La mise en oeuvre d'une directive de cette nature, c'est-à-dire une directive qui laisse une l'attitude importante aux États membres mais leur impose en même temps de considérer un grand nombre de détails, est assurément une tâche complexe. Néanmoins, les retards mis par la plupart des États membres pour transposer la directive constituent le premier et le principal manquement que la Commission a le devoir de constater et qu'elle condamne sans équivoque. Elle a naturellement entrepris, ainsi qu'expliqué plus haut, les actions appropriées conformément à l'article 226 du traité.
|
|
Late implementation
|
La libre circulation des informations est garantie
|
|
The implementation of a Directive of this kind, that is a Directive leaving a considerable latitude to the Member States, but also requiring them to fill in a significant amount of detail, is undoubtedly a complex task. But the serious delays in implementation that occurred in most Member States is the first and main shortcoming which the Commission has the duty to register as regards the implementation of the Directive which it unequivocally condemns. It has of course taken the appropriate action under Article 226 of the Treaty, as described above.
|
En dépit des retards et des lacunes constatés dans sa mise en oeuvre, la directive a rempli son objectif principal qui est de lever les obstacles à la libre circulation des données à caractère personnel entre les États membres. En réalité, la principale difficulté qui s'est posée avant l'adoption de la directive provenait du fait que, si la plupart des États membres disposaient d'une législation en matière de protection des données, quelques-uns n'en avaient pas. En 1995, seules l'Italie et la Grèce ne disposaient pas d'une telle législation; cependant, ces deux États membres ont été les premiers à transposer la directive, levant ainsi le principal obstacle. Depuis l'adoption de la directive, aucun cas n'a été signalé à la Commission de transferts de données personnelles entre États membres qui auraient été bloqués ou refusés pour des raisons de protection des données.
|
|
Free movement of information secured
|
Naturellement, les obstacles à la libre circulation des données à caractère personnel peuvent être plus subtils que des interdictions flagrantes dans la législation nationale ou des décisions de blocage prises par des autorités nationales de contrôle. Le cas peut ainsi exister d'une règle restrictive inutile dans un État membre qui limite d'abord le traitement interne des données à caractère personnel dans cet État membre et qui empêche alors l'exportation de ces données vers un autre État membre. En d'autres termes, si la Commission est globalement satisfaite de l'impact de la directive sur la libre circulation des informations à l'intérieur de la Communauté, l'expérience que l'on va encore acquérir à l'avenir pourrait mettre en évidence des problèmes qu'il conviendra de résoudre [16].
|
|
Despite these delays and gaps in implementation, the Directive has fulfilled its principal objective of removing barriers to the free movement of personal data between the Member States. In fact, the main difficulty prior to the adoption of the Directive arose because, while most Member States had adopted data protection legislation, a small number had not. By 1995, only Italy and Greece did not have such legislation, but these two Member States were among the first to transpose the Directive, thus removing the main difficulty. Since the adoption of the Directive, no case has been drawn to the attention of the Commission in which the transfer of personal data between Member States has been blocked or refused on data protection grounds.
|
[16] Par exemple, les approches différentes de la protection des données relatives aux personnes morales.
|
|
Of course, obstacles to the free circulation of personal data can be more subtle than blatant prohibitions in the national laws or blocking decisions taken by national supervisory authorities: there might for example be cases where an unnecessarily restrictive rule in one Member State limits the internal processing of personal data in that Member State in the first place and, thus the exportation of the same data to other Member States. In other words, while the Commission is broadly satisfied with the impact of the Directive as regards the free movement of information within the Community, further experience with its implementation may produce evidence of problems that need to be tackled [16].
|
Niveau élevé de protection
|
|
[16] For example different approaches as regards protection for data of legal persons.
|
Ainsi que le prévoit le 10ème considérant, l'objectif de rapprochement des législations nationales que poursuit la directive doit viser à garantir un niveau élevé de protection dans la Communauté. La Commission estime que cet objectif a été atteint. En réalité, la directive a fixé certaines normes de protection des données parmi les plus élevées au monde. Toutefois, les résultats de l'enquête en ligne montrent qu'à cet égard, les citoyens ont une perception différente des choses. Ce paradoxe impose une réflexion plus approfondie. Une première analyse donnerait à penser qu'une partie au moins du problème est imputable à une application incomplète des dispositions (voir la section intitulée "Mise en application, respect et connaissance de la directive").
|
|
High level of protection
|
D'autres objectifs de la politique du marché intérieur ne sont pas aussi bien atteints
|
|
As provided for in Recital 10, the aproximation of the national laws pursued by the Directive must seek to ensure a high level of protection in the Community. The Commission believes that this has been achieved. Indeed the Directive itself sets out some of the highest standards of data protection in the world. However, the results of the on-line survey suggest that the perception of citizens at this regard is different. This paradox requires further reflection. A preliminary analysis would suggest that at least part of the problem is attributable to an incomplete application of the rules (see further section on "enforcement, compliance and awareness")
|
La Commission a une vue des objectifs globaux que doit poursuivre la législation sur le marché intérieur qui dépasse la simple notion de libre circulation. Cette législation devrait égaliser les chances pour les opérateurs économiques des différents États membres, contribuer à simplifier l'environnement réglementaire dans l'intérêt à la fois d'une bonne gouvernance et de la compétitivité et chercher à encourager plutôt qu'à entraver les activités transfrontalières au sein de l'UE.
|
|
Other Internal Market policy objectives less well served
|
En se basant sur ces critères, les divergences qui caractérisent encore la législation en matière de protection des données sont trop grandes entre les États membres. C'est le premier message qu'ont fait passer les contributeurs à l'évaluation, en particulier ceux représentant les intérêts des entreprises qui se plaignent que les disparités actuelles empêchent les organisations multinationales de définir des politiques paneuropéennes en matière de protection des données. La Commission rappelle que l'ambition d'une directive est le rapprochement et non l'uniformisation complète et que, pour respecter le principe de subsidiarité, le processus de rapprochement ne devrait pas aller plus loin que nécessaire. Néanmoins, elle estime que les parties intéressées ont le droit d'exiger davantage de convergence entre les législations et entre les manières dont elles sont appliquées par les États membres et, en particulier, par les autorités nationales de contrôle.
|
|
The Commission takes a view of the overall policy objectives to be pursued by Internal Market legislation that goes beyond mere free movement. This should provide a level playing field for economic operators in different Member States; help to simplify the regulatory environment in the interests of both good governance and competitiveness; and tend to encourage rather than hinder cross-border activity within the EU.
|
Certains contributeurs à l'évaluation ont proposé de modifier la directive en y ajoutant davantage de détails ou de spécifications permettant d'atteindre cette convergence. La Commission préfère, du moins initialement, procéder autrement. En outre, le caractère général de cette directive, c'est-à-dire le fait qu'elle s'applique à un large éventail de secteurs et de situations, semble plaider contre l'ajout de détails et spécifications supplémentaires.
|
|
Judged against these criteria, the divergences that still mark the data protection legislation of the Member States are too great. This was the prevalent message received from the contributors to the review, in particular those representing business interests, who complained that present disparities prevent multinational organisations from developing pan-European policies on data protection. The Commission recalls that the ambition of a Directive is approximation and not complete uniformity and that, in order to respect the subsidiarity principle, the process of approximation should not go further than is necessary. Nevertheless, it thinks that stakeholders are right to demand more convergence in legislation and in the way it is applied by the Member States and the national supervisory authorities in particular.
|
Les divergences entre les législations des États membres plaident pour différentes solutions
|
|
Some contributors to the review proposed the amendment of the Directive to add more detail or specification to achieve this convergence. The Commission prefers to proceed at least initially by other means. Furthermore, the general nature of this Directive, i.e. the fact that it applies to a large number of sectors and contexts, generally argues against adding more detail or specification.
|
Les divergences entre les législations des États membres ayant des origines différentes et des conséquences différentes, elles appellent également des solutions différentes.
|
|
Divergences in Member States laws call for a range of solutions
|
Il est clair que si un État membre dépasse les limites de la directive ou reste en deçà de ses exigences, cela crée une divergence à laquelle il convient de remédier en modifiant la législation de l'État membre concerné. Il existe certaines dispositions qui laissent peu ou pas de marge aux États membres mais pour lesquelles des divergences sont néanmoins apparues; elles concernent, par exemple, les "définitions" ou les listes fermées prévues par la directive, notamment dans son article 7 (principes relatifs à la légitimation des traitements de données), 8.1 (données sensibles), 10 (information de la personne concernée), 13 (exceptions) et 26 (dérogations en ce qui concerne les transferts vers les pays tiers, etc.). Il y aurait donc là un non-respect de la législation communautaire. Dans un certain nombre de cas, l'article 4 (droit national applicable) a également été mal transposé.
|
|
Since the divergences between Member States' laws have different causes and different consequences, they also call for a range of different solutions.
|
La Commission est naturellement prête à utiliser les prérogatives que lui donne l'article 226 du traité pour imposer ces changements. Elle espère toutefois qu'il ne lui sera pas nécessaire de recourir à une action formelle. Des discussions bilatérales et multilatérales seront menées avec les États membres pour trouver de commun accord des solutions qui soient conformes à la directive.
|
|
It is clear that when a Member State has gone beyond the limits of the Directive or fallen short of its requirements, it creates a divergence that must be remedied by the modification of the Member State law in question. There are certain provisions which leave little or no margin to the Member States and where divergences have nevertheless occurred - see for example "definitions" or closed lists in the Directive such as in Articles 7 (grounds for legitimate processing), 8.1 (sensitive data), 10 (information to data subjects), 13 (exceptions), 26 (exceptions as regards transfers to third countries, etc). This points to non-compliance with Community law. Article 4 (applicable law) has also been badly transposed in a number of cases.
|
D'autres divergences peuvent être le résultat tout à fait légitime d'une application correcte par un État membre qui a choisi une voie différente, tout en restant dans la marge de manoeuvre que lui octroie la directive. Aux fins du présent rapport, la Commission ne considère ces divergences que dans la mesure où elles ont un impact négatif significatif sur le marché intérieur ou que du point de vue de la "meilleure réglementation", par exemple l'imposition de contraintes administratives non justifiées aux opérateurs.
|
|
The Commission is of course prepared to use its powers under Article 226 of the Treaty to bring about such changes, but it hopes that it will not be necessary to proceed by way of formal action. Bilateral and multilateral discussions will be held with the Member States with a view to arriving at agreed solutions in line with the Directive.
|
En résumé :
|
|
Other divergences may be the legitimate result of correct implementation by a Member State that has taken a different direction within the margin of manoeuvre allowed by the Directive. For the purposes of this report, the Commission considers the existence of such differences only in so far as they have significant negative consequences in the Internal Market or from the "better regulation" point of view, for example the creation of unjustified administrative burdens for operators.
|
a) globalement, une grande part des divergences constatées par les services de la Commission ne peuvent être considérées comme violant la législation communautaire ou comme ayant un impact négatif significatif sur le marché intérieur. Néanmoins, lorsque cela sera le cas, la Commission fera le nécessaire pour remédier à la situation;
|
|
Summing up:
|
b) un grand nombre des divergences relevées entravent néanmoins la mise en place d'un système réglementaire souple et simplifié et restent donc un sujet de préoccupation (voir, par exemple, les différences entre les obligations de notification ou les conditions des transferts internationaux).
|
|
a) Overall, a large proportion of the divergences detected by the Commission's services cannot be considered as a violation of Community law nor as having a significant negative impact on the Internal Market, but when this is the case, the Commission will do the necessary to remedy the situation;
|
Ainsi qu'indiqué à la section 6 du programme de travail, il existe tout un éventail d'actions possibles pour éliminer ces divergences. Le recours à ces solutions dans le futur immédiat ne signifie toutefois pas que la Commission exclue la possibilité de modifier plus tard la directive si les difficultés persistent. La coopération plus étroite entre les autorités de contrôle des États membres et la volonté générale de réduire l'impact négatif des divergences doivent donc être considérées comme une solution possible, l'autre étant la modification de la directive dans le sens d'une limitation de la marge de manoeuvre laissée au législateur national et aux autorités nationales de contrôle. À n'en pas douter, les États membres et leurs autorités de contrôle préféreront la première solution; c'est donc à eux de montrer qu'elle peut fonctionner.
|
|
b) Many of the divergences detected nevertheless do stand in the way of a flexible and simplified regulatory system and are still therefore of concern (see for example the differences in the notification requirements or the conditions for international transfers).
|
Mise en application, respect et connaissance de la directive
|
|
There is a broad spectrum of possible actions to address these, as indicated in the work programme in section 6. The pursuit of these solutions in the immediate future does not mean, however, that the Commission excludes the possibility of appropriate amendment to the Directive subsequently, if the difficulties persist. Closer co-operation among the supervisory authorities of the Member States and a general willingness to reduce the negative impact of divergences are therefore to be seen as one alternative, while amendments to the Directive reducing the amount of choice left to the national legislator and to national supervisory authorities are the other. The Member States and their supervisory authorities will no doubt prefer the first option and it is up to them to show that it can work.
|
Avant de procéder à un examen plus approfondi de quelques-uns des aspects de la mise en oeuvre de la directive qui posent problème, une autre question générale mérite qu'on s'y attarde quelque peu, à savoir le niveau général de respect de la législation sur la protection des données dans l'UE et la question qui y est liée de sa mise en application. Étant donné (ou malgré) le caractère universel du traitement des données à caractère personnel, il est difficile d'obtenir des informations précises ou exhaustives quant à son respect de la législation. Les réponses que la Commission a reçues à son appel à contributions n'apportent pas vraiment beaucoup d'éléments neufs à ce sujet. Combinées à diverses informations factuelles dont dispose la Commission [17], diverses données empiriques suggèrent la présence de trois phénomènes liés entre eux:
|
|
Enforcement, compliance and awareness
|
[17] Par exemple, le nombre relativement restreint de plaintes individuelles reçues par la Commission elle-même ainsi que le faible nombre d'autorisations accordées par des autorités nationales pour des transferts vers des pays tiers notifiés à la Commission conformément à l'article 26, paragraphe 3.
|
|
Before proceeding to a closer examination of some of the problematic areas of the Directive's implementation, one other general issue deserves attention, which is that of the general level of compliance with data protection law in the EU and the related question of enforcement. Given (or despite) the ubiquitous character of personal data processing, it is hard to obtain accurate or complete information about its compliance with the law. The input which the Commission received in response to its call for contributions did not cast much new light on this issue. Anecdotal evidence, however, combined with various elements of "hard" information available to the Commission [17] suggests the presence of three inter-related phenomena:
|
- un manque de ressources affectées à la mise en oeuvre et des autorités nationales en charge d'un très grand nombre de tâches parmi lesquelles les mesures de mise en application bénéficient d'une priorité relativement basse;
|
|
[17] For example the relatively small number of individual complaints received by the Commission itself and the low number of authorisations by national authorities for transfers to third countries notified to the Commission in accordance with Article 26 (3)
|
- un respect très inégal par les responsables du traitement, à l'évidence réticents à modifier leurs pratiques actuelles pour respecter des règles qui peuvent paraître complexes et contraignantes, alors que les risques d'être pris paraissent relativement faibles;
|
|
- An under-resourced enforcement effort and supervisory authorities with a wide range of tasks, among which enforcement actions have a rather low priority;
|
- un niveau apparemment faible de connaissance de leurs droits par les personnes concernées, qui peut être à l'origine du phénomène précédent.
|
|
- Very patchy compliance by data controllers, no doubt reluctant to undertake changes in their existing practices to comply with what may seem complex and burdensome rules, when the risks of getting caught seem low;
|
Dans de nombreux États membres, les autorités de contrôle elles-mêmes sont également concernées par ces problèmes, en particulier celui du manque de ressources. Celui-ci peut nuire à leur indépendance alors que cette indépendance dans la prise de décisions est une condition sine qua non d'un bon fonctionnement du système.
|
|
- An apparently low level of knowledge of their rights among data subjects, which may be at the root of the previous phenomenon.
|
Cette question nécessite d'être approfondie mais si cette tendance est confirmée, elle suscite de sérieuses inquiétudes et impose que des réflexions soient menées entre la Commission et les États membres et leurs autorités de contrôle pour déterminer sa cause et définir des solutions envisageables.
|
|
The supervisory authorities themselves in many Member States are also concerned about this, in particular their lack of resources. Resource difficulties may affect independence. Independence in the taking of decisions is a sine qua non for the correct functioning of the system.
|
Les trois problèmes précités étant liés, toute solution trouvée à l'un d'entre eux pourrait avoir des retombées positives sur les autres. Une mise en application plus étendue et plus efficace améliorera le respect de la législation. Un meilleur respect conduira les responsables du traitement à fournir un plus grand nombre et de meilleures informations aux personnes concernées quant à l'existence du traitement et à leurs droits en vertu de la législation, démarche qui, à son tour, accroîtra le niveau de sensibilisation à la question de la protection des données parmi le grand public.
|
|
This aspect requires further investigation, but if these tendencies are confirmed, they are reasons for serious concern and reflections need to be undertaken between the Commission and the Member States and the supervisory authorities to determine their causes and design feasible solutions.
|
Les pays candidats
|
|
The fact that the three aspects are linked means that addressing one of them successfully can have positive spill-over on the others. More vigorous and effective enforcement will improve compliance with the legislation. Better compliance will result in data controllers providing more and better information to data subjects about the existence of the processing and their rights under the law, with a beneficial effect on the level of awareness about data protection among citizens in general.
|
En vertu des critères de Copenhague, tous les pays candidats sont tenus d'avoir transposé la directive 95/46/CE au moment de leur adhésion. À ce jour, tous ont adopté une législation dans ce domaine, à l 'exception de la Turquie, où la préparation d'une loi sur la protection des données est bien avancée. Dans les dix pays qui ont signé les traités d'adhésion, les législations en place incorporent la plupart des éléments clés de la directive. Toutefois, des efforts supplémentaires sont encore nécessaires pour aligner complètement cette législation sur les dispositions de la directive.
|
|
The candidate countries
|
À cet égard, la création d'autorités de contrôle indépendantes en matière de protection des données est de la plus haute importance. Si l'indépendance des autorités de contrôle de certains pays est exemplaire, elle reste insuffisante dans plusieurs autres. Toutes les autorités de contrôle manquent par ailleurs des ressources nécessaires et certaines d'entre elles ne disposent pas des prérogatives requises pour garantir une mise en application effective de la législation sur la protection des données.
|
|
In line with the Copenhagen criteria, all candidate countries are commited to transposing Directive 95/46/EC by the time of accession. To date, all have passed legislation in this field, except for Turkey, where preparation of a Data Protection Act is well under way. In the 10 countries that have signed the Treaties of Accession, the legislation in place incorporates most of the key elements of the Directive. However, further efforts are needed to bring this legislation fully into line with all provisions of the Directive.
|
|
|
In this regard, the establishment of independent data protection supervisory authorities is of utmost importance. The independence of some supervisory authorities is exemplary, whilst in other countries it is clearly insufficient. On the other hand, all the supervisory authorities lack the necessary resources and some also the necessary powers to ensure effective implementation of data protection legislation.
|
4. Les principales conclusions de l'évaluation plus en détail [18]
|
|
4. The main findings of the review in more detail [18]
|
[18] Pour disposer d'une vue plus complète, les lecteurs consulteront l'annexe technique.
|
|
[18] Readers should refer to the technical annex for a more complete picture.
|
La présente section examine plus en profondeur et fournit des exemples plus concrets des principaux problèmes auxquels la Commission estime qu'il conviendrait de s'intéresser à la lumière de son évaluation.
|
|
This section looks more closely at and provides more concrete examples of the main issues which the Commission considers require attention in the light of its review.
|
4.1. La nécessité d'achever la mise en application de la directive
|
|
4.1. The need to complete the implementation of the Directive
|
Une mise en application complète de la directive requiert normalement (outre la promulgation des lois de mise en application) une seconde étape qui consiste pour l'essentiel en l'examen des autres législations qui pourraient entrer en conflit avec les exigences de la directive et/ou en l'édiction de certains principes généraux et en la mise en place de garanties appropriées lorsqu'il a été fait usage des exceptions prévues par la directive.
|
|
A full implementation of the Directive normally requires (besides the enactment of implementing legislation) a second stage which mainly consists in the review of other legislation that may conflict with the Directive's requirements and/or the specification of certain general rules and the provision of appropriate safeguards where exceptions foreseen by the Directive have been used.
|
De façon générale, cette seconde étape dans la mise en application n'a pas encore commencé dans certains États membres et, parmi ceux qui l'ont déjà lancée, quelques-uns n'ont pas beaucoup progressé. Certaines lois nationales font référence à la publication de précisions supplémentaires, par exemple en ce qui concerne l'application de l'article 7, alinéa f) (disposition relative à l'équilibre des intérêts), mais cela n'a pas encore eu lieu jusqu'ici [19].
|
|
In general terms, this second stage of the implementation has not even started in some Member States and among those that have started, some are not very far advanced. Several national laws make reference to further clarification being issued, for example as regards the application of Article 7 (f) (balance of interest clause) but this has not happened yet. [19]
|
[19] Plusieurs contributions - voir, par exemple, celle de Clifford Chance - ont mis en exergue l'importance de cette disposition qui ajoute un élément important de souplesse aux "conditions d'équité" du traitement. Une application incomplète ou peu claire de cette disposition engendre une rigidité inutile du cadre réglementaire.
|
|
[19] Several submissions - see for example that from Clifford Chance - highlighted the importance of this provision which adds an important element of flexibility to the conditions of "fairness" of processing. An incomplete or unclear implementation of this provision causes unnecessary rigidity in the regulatory framework.
|
Une autre disposition dont la mise en application est souvent incomplète est l'article 8, paragraphe 2, b). Cette disposition permet aux États membres de faire des exceptions à la règle générale selon laquelle les données sensibles ne devraient pas faire l'objet de traitements lorsque ceux-ci sont nécessaires pour respecter les obligations et les droits spécifiques du responsable du traitement en matière du droit du travail mais uniquement dans la mesure où des garanties adéquates ont été mises en place. Dans certains États membres, ces exigences sont rencontrées par le biais d'une législation sur la protection des données spécifiques au domaine de l'emploi, soit une législation relativement complète (c'est le cas en Finlande), soit une législation qui réglemente certains domaines particuliers (par exemple, la santé au Danemark et aux Pays-Bas). Dans d'autres États membres, la situation est moins claire. Tous les États membres n'ont pas adopté les dispositions prévoyant des garanties et, quand ils l'ont fait, ces dispositions sont souvent peu satisfaisantes. La situation est identique en ce qui concerne l'article 8, paragraphes 4 et 5, qui porte sur le traitement de données sensibles pour des motifs d'intérêt public et sur le traitement de données relatives aux infractions et condamnations pénales. L'absence de garanties implique que le niveau de protection requis pour les individus n'est pas atteint, ce dont devraient s'inquiéter tant les États membres que la Commission. Cette question sera abordée notamment dans le cadre de l'Action 2 du programme de travail. Elle pourrait également être soulevée lorsque des données personnelles font l'objet d'un traitement pour un secteur particulier ou dans un contexte particulier - comme l'emploi - dans le cadre d'une action communautaire sectorielle [20].
|
|
Another provision where implementation is often incomplete is Article 8 (2) (b). This provision allows Member States to make exceptions from the general rule that sensitive data should not be processed, where such processing is necessary to carry out the obligations and specific rights of the controller in the field of employment law, but only subject to adequate safeguards being put in place. In some Member States, these requirements are met through specific data protection legislation in the employment context, which is either quite comprehensive (eg. Finland) or regulates particular issues (eg. health legislation in Denmark and the Netherlands). In other Member States, the situation is less clear. The provisions containing safeguards have not been adopted by all Member States. Where they exist, they are often unsatisfactory. The situation is similar as regards Article 8 (4) and (5) - the processing of sensitive data for reasons of public interest or with regard to criminal convictions. The absence of safeguards means the required level of protection for individuals is not being met, which should be a matter of concern for the Member States, as it is for the Commission. This will be addressed in particular under Action 1 of the work programme. Furthermore, where personal data are processed in a particular sector or context, such as in employment, this may be addressed through sectoral Community action [20].
|
[20] Cf., à cet égard, le paragraphe 1.2 supra.
|
|
[20] Cf., in this regard, point 1.2 supra.
|
4.2. La nécessité d'une interprétation raisonnable et souple
|
|
4.2. The need for a reasonable and flexible interpretation
|
De nombreuses contributions ont plaidé pour une interprétation raisonnable et souple de certaines dispositions de la directive [21]. Un bon exemple est celui des données sensibles [22]. Il est nécessaire de trouver une interprétation qui soit cohérente à la fois avec la protection renforcée prévue par la directive pour cette catégorie de données et les réalités de la vie économique quotidienne, les traitements de routine et les risques effectifs que certaines opérations posent pour la protection des libertés et des droits fondamentaux des individus [23].
|
|
Many submissions have advocated a reasonable and flexible interpretation of certain provisions of the Directive [21]. A good example is the issue of sensitive data [22]. It is necessary to find an interpretation consistent both with the reinforced protection foreseen for this category of data by the Directive and the realities of daily business, routine processing operations and the effective risks that certain operations pose for the protection of the fundamental rights and freedoms of individuals. [23]
|
[21] La contribution du "European Privacy Officers Forum (EPOF)" est particulièrement intéressante à cet égard, par exemple en ce qui concerne la nécessité d'interpréter raisonnablement des notions comme celles de "données anonymes" ou de "données sensibles".
|
|
[21] The submission of the European Privacy Officers Forum (EPOF) is particularly interesting in this regard, for example on the need for a reasonable interpretation of notions like "anonymous data" or "sensitive data".
|
[22] La contribution de la "Federation of European Direct Marketin (FEDMA), par exemple, contient certains exemples pratiques des différentes interprétations de cette notion dans des États membres comme le Royaume-Uni, la France et le Portugal.
|
|
[22] The submission of FEDMA, for example, contains some practical examples of the different interpretations of this notion in Member States such as the United Kingdom, France or Portugal.
|
[23] Ce souhait d'une interprétation raisonnable se retrouve également dans la modification du considérant 33 qui a été proposée par l'Autriche, la Finlande, la Suède et le Royaume-Uni.
|
|
[23] The call for a reasonable interpretation can also be found in the suggested amendment to recital 33 submitted by Austria, Finland, Sweden and the United Kingdom.
|
L'article 12 de la directive (droit d'accès de la personne concernée aux données la concernant) est une autre disposition pour laquelle des demandes d'interprétation souples ont été formulées en ce qui concerne l'exercice du droit d'accès et la possibilité de refus. L'argument a été avancé que satisfaire à des demandes d'accès concernant des données traitées dans des réseaux d'informations gigantesques et complexes pourrait être extrêmement ardu et coûteux pour le responsable du traitement.
|
|
Article 12 of the Directive (right of data subjects to have access to information held about them) is another provision that has prompted calls for a flexible interpretation in relation to the exercise of the right of access and the possibility of refusals. It is argued that meeting access requests concerning data processed in enormous and complex information networks could be extremely difficult and costly for the data controller.
|
La contribution de l'Autriche, de la Suède, de la Finlande et du Royaume-Uni propose de modifier la directive de manière à ce qu'elle dispose que, si la demande d'accès concerne des informations extrêmement difficiles à retrouver et manifestement exclues des traitements normaux effectués par le responsable, celui-ci peut demander à la personne concernée de l'aider à rechercher ses données [24]. La Commission rappelle que la possibilité de requérir semblable assistance est déjà conforme à la directive dans sa forme actuelle. La Commission n'est pas convaincue que la mise en application de cette disposition de la directive pose en fait des problèmes pratiques sérieux. Quoiqu'il en soit, le nombre de demandes d'accès semble rester relativement bas [25]. La Commission considère que les interprétations et les lignes directrices fournies jusqu'ici par les autorités nationales de contrôle sont tout à fait raisonnables.
|
|
The submission from Austria, Sweden, Finland and the United Kingdom seeks a change in the Directive to make clear that if the access request concerns information extremely difficult to retrieve and clearly excluded from the normal operations of the controller, the data controller may ask the data subject to assist the organisation in searching for his data. [24] The Commission recalls that the possibility of asking for such assistance is already in conformity with the Directive in its present form. The Commission is not convinced that the implementation of this provision of the Directive is in fact posing serious practical problems. In any case, the number of access requests seems to remain low. [25] The Commission considers the interpretations and guidance provided by national supervisory authorities so far to be wholly reasonable.
|
[24] Semblable assistance est déjà prévue dans les législations britanniques et autrichiennes.
|
|
[24] Such assistance is already foreseen under British and Austrian law.
|
[25] Voir plus haut les chiffres et les réponses des responsables du traitement au questionnaire en ligne sur cette question.
|
|
[25] See figures and responses of data controllers to the on-line questionnaire on this issue above
|
L'article 5 de la directive dispose que les États membres précisent, dans les limites des dispositions du chapitre II (articles 6 à 21), les conditions dans lesquelles les traitements de données à caractère personnel sont licites. À cet égard, la Commission prend note des préoccupations exprimées par la Suède dans le cadre de l'évaluation en cours de sa législation en ce qui concerne l'application des principes de protection des données à du texte continu ou à des sons et images. La Commission considère que l'objectif de simplification des conditions du traitement des données, lorsque ce traitement n'est pas susceptible d'engendrer des risques substantiels pour les droits des individus, peut être mieux atteint en profitant de la marche de manoeuvre qu'offre la directive, en particulier les possibilités offertes par les articles 7, (f), 9 et 13.
|
|
Article 5 of the Directive states that Member States shall, within the limits of the provisions of Chapter II (Articles 6 to 21), determine more precisely the conditions under which the processing of personal data is lawful. In this respect, the Commission notes the concerns expressed by Sweden in the framework of the ongoing review of their legislation as regards the application of data protection principles to continuous text or sound and image data. The Commission considers that the aim of simplifying the conditions for data processing where such processing is not likely to pose any substantial risks to individual's rights can be better met by making use of the margin of manoeuvre that the Directive provides and in particular of the possibilities allowed by articles 7 (f), 9, and 13.
|
4.3. La promotion et l'encouragement des technologies de protection de la vie privée
|
|
4.3. Promotion and encouragement of Privacy Enhancing Technologies
|
Le principe des technologies de protection de la vie privée (PET) est de concevoir des systèmes et des technologies de l'information et de la communication d'une manière qui minimise la collecte et l'utilisation de données à caractère personnel et empêche toute forme illégale de traitement. La Commission considère que le recours à des mesures technologiques appropriées constitue un complément essentiel aux moyens juridiques et devrait faire partie intégrante de toutes les démarches visant à atteindre un niveau suffisant de protection de la vie privée.
|
|
The idea of Privacy Enhancing Technologies is to design information and communication systems and technologies in a way that minimises the collection and use of personal data and hinders unlawful forms of processing. The Commission considers that the use of appropriate technological measures is an essential complement to legal means and should be an integral part in any efforts to achieve a sufficient level of privacy protection.
|
Les produits technologiques devraient systématiquement être développés en conformité avec les règles applicables en matière de protection des données. Cette conformité n'est cependant que la première étape. L'objectif doit être de fabriquer des produits qui n'ont seulement respectent et protègent la vie privée mais, si possible également, en renforcent la protection [26].
|
|
Technological products should be in all cases developed in compliance with the applicable data protection rules. But being in compliance is only the first step. The aim should be to have products that are not only privacy-compliant and privacy-friendly but if possible also privacy-enhancing [26].
|
[26] Voir, à cet égard, les conclusions du document WP 37 du groupe de travail article 29 de novembre 2000: "Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne". Les produits qui respectent la vie privée sont ceux développés de façon pleinement conforme à la directive. Les produits qui protègent la vie privée vont un peu plus loin en introduisant certains éléments permettant un accès plus aisé des utilisateurs à certains aspects de la protection de la vie privée comme, par exemple, la fourniture d'informations très conviviales aux personnes concernées ou la possibilité offerte à ceux -ci d'exercer très facilement leurs droits. Les produits qui renforcent la protection de la vie privée sont ceux qui ont été conçus d'une manière qui vise à permettre le recours le plus large possible à des données parfaitement anonymes. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm
|
|
[26] See in this sense the conclusions of the document WP 37 of the Article 29 Working Party, November 2000:"Privacy on the Internet - An integrated EU Approach to On-line Data Protection". Privacy-compliant products are products developed in full compliance with the Directive, privacy-friendly products go one step further by introducing some elements that make the privacy aspects more easily-accessible to the users like for instance by providing very user-friendly information to the data subject or very easy ways of exercising their rights. Privacy-enhancing products are those that have been designed in a way that aims at accomplishing the largest possible use of truly anonymous data. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm
|
Au cours des discussions sur les PET qui ont eu lieu pendant la conférence 2002 de la Commission sur la mise en oeuvre de la directive, il a été indiqué que l'utilisation de certains outils technologiques empêchait les responsables du traitement de se conformer à la loi. Un autre problème qui est apparu est celui de la difficulté d'identifier les produits qui sont réellement des PET. Certains participants ont plaidé pour une certaine forme de certification ou de label de qualité basée sur une vérification indépendante du produit. Actuellement, certains systèmes présentés comme des PET ne sont même pas du type respectant la vie privée.
|
|
During the discussions on PETs at the Commission's 2002 conference on the implementation of the Directive, it was pointed out that the use of certain technical tools makes it impossible for controllers to comply with the law. An additional problem that emerged is the difficulty of recognising which products are genuinely PETs. Some participants called for some form of certification or seal based on an independent verification of the product. At present, some systems presenting themselves as PETs are not even privacy-compliant.
|
La question clé est dès lors non seulement de savoir comment créer des technologies qui permettent réellement de renforcer la protection de la vie privée mais également de savoir comment s'assurer que ces technologies sont correctement identifiées et reconnues en tant que telles par les utilisateurs. Les systèmes de certification jouent un rôle primordial en la matière et la Commission continuera de suivre les développements dans ce domaine [27].
|
|
The key-issue is therefore not only how to create technologies that are really privacy-enhancing, but how to make sure that these technologies are properly identified and recognised as such by the users. Certification schemes play a crucial role and the Commission will continue to follow developments in this area [27].
|
[27] Au Canada, où le gouvernement fédéral a été le premier gouvernement national à rendre obligatoires les "évaluations d'impact sur la vie privée" pour tous les départements et services fédéraux et pour tous les programmes et services où pourraient se poser des problèmes liés à la protection de la vie privée. Cette politique impose aux services gouvernementaux de mener des évaluations d'impact sur la vie privée aux premiers stades de la conception ou de la révision d'un programme ou d'un service, de manière à influencer le processus de développement et à garantir que la protection de la vie privée constitue une préoccupation fondamentale. Le Land allemand du Schleswig-Holstein a introduit un système de certification impliquant de la même façon tant le secteur public que le secteur privé.
|
|
[27] For instance in Canada, where the Federal Government became the first national government to make Privacy Impact Assessments (PIAs) mandatory for all federal departments and agencies for all programmes and services where privacy issues might be inherent. This policy requires agencies to initiate PIAs in the early stages of the design or redesign of a programme or service, so as to influence the development process and make sure that privacy protection is a core consideration. The German Land of Schleswig-Holstein has introduced a certification scheme involving both the public and private sector on similar lines.
|
La Commission estime que ces systèmes doivent être encouragés et développés davantage. L'objectif n'est pas uniquement d'améliorer les pratiques en matière de protection de la vie privée mais également d'accroître la transparence et, partant, la confiance des utilisateurs et de donner la possibilité à ceux qui investissent dans le respect de la vie privée et même en accroissent la protection de montrer leurs résultats dans ce domaine et d'en faire un avantage concurrentiel.
|
|
The Commission believes that such schemes should indeed be encouraged and further developed. The objective is not just better privacy practices, but also to increase transparency and therefore the trust of users and to give those investing in compliance and even enhanced protection an opportunity to demonstrate their performance in this respect and exploit this to their competitive advantage.
|
4.4. Commentaires sur certaines dispositions spécifiques
|
|
4.4. Comments on some specific provisions
|
Le présent rapport indique uniquement, dans chaque cas, les principales conclusions. Des indications plus détaillées seront disponibles dans une annexe technique à publier séparément [28].
|
|
This report only indicates the main findings in each case. Details will be made available in a technical annex to be published separately [28].
|
[28] www.europa.eu.int/comm/privacy
|
|
[28] www.europa.eu.int/comm/privacy
|
4.4.1. Article 4: Droit national applicable
|
|
4.4.1. Article 4: Applicable law
|
Dans une perspective de marché intérieur, il s'agit là d'une des dispositions les plus importantes de la directive. Sa mise en oeuvre correcte est essentielle au bon fonctionnement du système. Or, elle pose actuellement problème dans plusieurs cas, avec pour résultat l'apparition possible du type de conflit de lois que cet article cherche justement à éviter. À cet égard, plusieurs États membres devront modifier leur législation.
|
|
This is one of the most important provisions of the Directive from the perspective of the Internal Market and its correct implementation is crucial for the functioning of the system. The implementation of this provision is deficient in several cases with the result that the kind of conflicts of law this Article seeks to avoid could arise. Some Member States will have to amend their legislation in this regard.
|
Cette disposition a été l'une des plus critiquées durant le processus d'évaluation. Certaines contributions plaident pour une règle "du pays d'origine" qui permettrait aux organisations multinationales d'opérer avec un ensemble unique de règles au sein de l'UE. De nombreuses contributions ont également avancé que le "recours à des moyens" ne constituait pas un critère pertinent ou valable pour l'application de la législation communautaire à des responsables du traitement établis en dehors de l'UE.
|
|
The provision was one of the most criticised during the review process. Submissions argued for a country of origin rule that would allow multinational organisations to operate with one set of rules across the EU. Many also argued that the "use of equipment" was not an appropriate or workable criterion for determining the application of EU law to controllers established outside the EU.
|
En ce qui concerne la règle du pays d'origine, la directive permet déjà l'organisation du traitement sous le contrôle d'un seul responsable, ce qui implique, en fait, de ne satisfaire qu'à la seule législation sur la protection des données du pays d'établissement de ce responsable. Cela ne vaut bien sûr pas lorsqu'une entreprise a choisi d'exercer son droit d'établissement dans plus d'un État membre.
|
|
As regards the country of origin rule, the Directive already allows for the organisation of processing under a single data controller, which means complying only with the data protection law of the controller's country of establishment. This of course does not apply where a company has chosen to exercise its right of establishment in more than one Member State.
|
En ce qui concerne le "recours à des moyens", la Commission est consciente du fait que l'application pratique de ce critère peut être malaisée et qu'il doit être clarifié davantage. Si cette clarification ne devait pas s'avérer suffisante pour garantir l'application pratique de ce critère, il pourrait s'avérer nécessaire, en temps opportun, de proposer une modification à la directive qui introduirait un type de lien différent pour déterminer la législation applicable.
|
|
As regards the "use of equipment" the Commission is aware that this criterion may not be easy to operate in practice and that it needs further clarification. Should such clarification not be sufficient to ensure its practical application, it might in due course be necessary to propose an amendment creating a different connection factor in order to determine the applicable law.
|
La priorité de la Commission reste cependant de garantir une application correcte par les États membres de la disposition existante. Avant qu'une proposition de modification de l'article 4, paragraphe 1, alinéa c), tenant compte des développements technologiques, puisse être avancée, il convient d'acquérir plus d'expérience avec son application et de réfléchir davantage encore. Nonobstant la nécessité de poursuivre cette réflexion, il serait erroné de donner l'impression que l'ensemble de l'article 4 est contesté. Au contraire, de nombreux aspects de son application ne posent aucun problème et font l'objet d'une approbation unanime de la part tant de l'ensemble des autorités chargées de la protection des données que de la Commission.
|
|
The Commission's priority is, however, to secure the correct implementation by the Member States of the existing provision. More experience with its application and more reflection is needed, taking into account technological developments, before any proposal to change Article 4 (1) (c) might be made. Notwithstanding the need for this further reflection, it would be wrong to give the impression that the whole of Article 4 is contested. On the contrary, large areas of its application are uncontested and are the subject of unanimous agreement among all data protection authorities and the Commission.
|
4.4.2. Articles 6 et 7: Qualité des données et critères de légitimation des traitements
|
|
4.4.2. Articles 6 and 7: Data quality and criteria for legitimate processing
|
L'analyse des législations nationales montre que la mise en oeuvre de ces dispositions est parfois peu satisfaisante. L'article 6, paragraphe 1, alinéa b), autorise un traitement ultérieur à des fins historiques, statistiques ou scientifiques, mais uniquement si les garanties appropriées ont été prévues. Ces garanties ne le sont pas dans tous les États membres alors que ce type de traitement est généralement autorisé. Certains États membres ont allongé ou raccourci la liste des critères de traitement légitime prévus à l'article 7. Ils devront donc modifier leur législation. La notion de "consentement indubitable" (article 7, alinéa a), doit être clarifiée davantage et interprétée de façon plus uniforme, surtout quand on la compare à la notion de "consentement explicite" dont question à l'article 8. Il est indispensable que les opérateurs sachent ce qu'est un consentement valable, en particulier en cas d'opérations en ligne.
|
|
The analysis of national legislation shows that the implementation of these provisions is sometimes unsatisfactory. Article 6 (1)(b) allows further processing for historical, statistical or scientific purposes, but only when appropriate safeguards are in place. Safeguards have not been provided for in all Member States, whilst such further processing is generally authorised. Some Member States have gone beyond or fallen short of the list of grounds for legitimate processing in Article 7 and they will have to amend their legislation. The notion of "unambiguous consent" (Article 7 (a)) in particular, as compared with the notion of "explicit consent" in Article 8, needs further clarification and more uniform interpretation. It is necessary that operators know what constitutes valid consent, in particular in on-line scenarios.
|
4.4.3. Articles 10 et 11: Information des personnes concernées
|
|
4.4.3. Articles 10 and 11: Provision of information to data subjects
|
La mise en oeuvre des articles 10 et 11 de la directive présente un certain nombre de divergences. Dans une certaine mesure, celles-ci sont le résultat d'une application incorrecte, par exemple une législation qui dispose que des informations supplémentaires doivent toujours être fournies à la personne concernée indépendamment du "test de nécessité" prévu par la directive, mais également d'interprétations et de pratiques différentes par les autorités de contrôle. Certaines contributions mettent en évidence les difficultés que rencontrent les entreprises multinationales opérant à un niveau paneuropéen du fait de l'existence de ces divergences [29].
|
|
The implementation of Articles 10 and 11 of the Directive showed a number of divergences. To some extent this is the result of incorrect implementation, for instance when a law stipulates that additional information must always be provided to the data subject, irrespective of the necessity test the Directive foresees, but also stems from divergent interpretation and practice by supervisory authorities. Submissions stressed the difficulties for multinational companies operating on a pan-European level that arise from these divergences [29].
|
[29] Voir, par exemple, l'opinion de l'EPOF (European Privacy Officers Forum) à l'adresse suivante: http://europa.eu.int/comm/internal_market/ en/privacy/docs/lawreport/paper/epof_en.pdf ou celle de la Commission pour l'UE de la Chambre de commerce américaine: http://europa.eu.int/comm/internal_market/ en/privacy/docs/lawreport/paper/amcham_en.pdf
|
|
[29] See for example the views of the EPOF (European Privacy Officers Forum):
|
4.4.4. Articles 18 et 19: Exigences en matière de notification
|
|
4.4.4. Articles 18 and 19: Notification requirements
|
De nombreuses contributions insistent sur la nécessité de simplifier et de rapprocher les exigences imposées par les États membres en ce qui concerne la notification des opérations de traitement par les responsables. Si la Commission partage ce point de vue, elle rappelle que la directive offre déjà aux États membres la possibilité de prévoir des dérogations très larges lorsque les risques sont faibles ou lorsque le responsable du traitement a désigné un détaché à la protection des données à caractère personnel. Ces dérogations offrent une souplesse suffisante tout en n'affectant pas le niveau de protection garanti. Il est regrettable que certains États membres ne se soient pas octroyés ces possibilités. Néanmoins, la Commission convient qu'en plus d'un recours accru aux dérogations existantes, une simplification supplémentaire serait utile dans une certaine mesure et devrait être possible sans modification des articles existants.
|
|
Many submissions argue for the need to simplify and approximate the requirements in Member States as regards the notification of processing operations by data controllers. The Commission shares this view, but recalls that the Directive already offers the Member States the possibility to provide for wide exemptions from notification in cases where low risk is involved or when the controller has appointed a data protection official. These exemptions allow for sufficient flexibility while not affecting the level of protection guaranteed. Regrettably, some Member States have not availed themselves of these possibilities. However, the Commission agrees that, in addition to wider use of the existent exemptions, some further simplification would be useful and should be possible without amending the existing Articles.
|
4.4.5. Articles 25 et 26: la dimension extérieure
|
|
4.4.5. Articles 25 and 26: The external dimension.
|
Les divergences constatées entre les législations des États membres en ce qui concerne la mise ne oeuvre de ces deux dispositions sont trop importantes; l'approche adoptée par certains États membres dans lesquels l'évaluation du caractère adéquat du niveau de protection offert par le bénéficiaire est réputée être du ressort du responsable du traitement, avec un contrôle très limité des flux de données par l'État ou par l'autorité nationale de contrôle, ne paraît pas satisfaire à l'obligation imposée aux États membres par l'article 25 [30].
|
|
Divergences between Member States laws on the implementation of these two provisions are very broad indeed. The approach adopted by some Member States, where the assessment of the adequacy of protection provided for by the recipient is supposed to be made by the data controller, with very limited control of the data flows by the State or the national supervisory authority, does not seem to meet the requirement placed on Member States by the first paragraph of Article 25 (1) [30].
|
[30] "Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (...) le pays tiers en question assure un niveau de protection adéquat".
|
|
[30] "The Member States shall provide that the transfer to a third country of personal data (....) may take place only if (....) the third country in question ensures an adequate level of protection"
|
L'approche adoptée par certains autres États membres qui subordonnent tous les transferts des pays tiers à une autorisation administrative [31] ne semble pas conforme au chapitre IV de la directive qui vise à garantir à la fois une protection adéquate et des flux de données personnelles vers des pays tiers sans contrainte excessive. Même si les autorisations aux autorités nationales de contrôle peuvent être imposées en vertu de l'article 19, il ne faut pas qu'elles se transforment en autorisations de facto dans les cas où le transfert vers un pays tiers est manifestement autorisé, soit parce que le destinataire procure une protection adéquate telle que constatée dans une décision contraignante de la Commission ou est partie à des clauses contractuelles types approuvées par la Commission, soit parce que le responsable du traitement déclare que le transfert bénéficie d'une des dérogations prévues à l'article 26 de la directive. Si l'autorité chargée de la protection des données peut légitimement imposer la notification de ce transfert [32], il n'est pas nécessaire d'autoriser ces transferts parce qu'ils le sont déjà par la loi communautaire.
|
|
The approach taken by some other Member States, submitting all transfers to third countries to an administrative authorisation [31], also seems inconsistent with Chapter IV of the Directive, which aims at guaranteeing both adequate protection and flows of personal data to third countries without unnecessary burdens. Notifications to national supervisory authorities may be required under Article 19, but notifications cannot be turned into de facto authorisations in those cases where the transfer to a third country is clearly permitted, either because the recipient is a destination providing adequate protection as confirmed in a binding Commission decision, or is a party to the standard contractual clauses approved by the Commission, or because the data controller declares that the transfer benefits from one of the exceptions provided for in Article 26 of the Directive. Whilst the data protection authority may legitimately require the notification of these transfers [32], there is no need to authorise these transfers because they are already authorised by Community law.
|
[31] Dans plusieurs États membres, les transferts bénéficiant d'une dérogation telle que prévue à l'article 26, paragraphe 1, ou même vers d'autres États membres ou pays tiers déclarés acceptables par la Commission nécessitent une autorisation.
|
|
[31] Transfers benefiting from the exceptions of Article 26 (1) or even to other Member States or third countries declared adequate by the European Commission need an authorisation in some Member States.
|
[32] Pour vérifier, par exemple, que le contrat type correspond entièrement avec le modèle approuvé par la Commission ou que le bénéficiaire est effectivement couvert par la décision de conformité.
|
|
[32] To check, for example, that the model contract fully corresponds with the model approved by the Commission or that the recipient is effectively covered by the adequacy decision.
|
Une attitude trop laxiste de la part de certains États membres, outre d'être en contradiction avec la directive, risque d'affaiblir le niveau de protection dans l'UE dans son ensemble parce qu'avec la libre circulation garantie par la directive, les flux de données pourraient se diriger vers les points de sortie "les moins contraignants". Par contre, une approche trop stricte ne tiendrait pas compte des besoins légitimes du commerce international et de la réalité des réseaux globaux de télécommunications et risquerait de créer un fossé entre la loi et la pratique, ce qui serait dommageable pour la crédibilité de la directive et de l'ensemble de la législation communautaire.
|
|
An overly lax attitude in some Member States - in addition to being in contravention of the Directive - risks weakening protection in the EU as a whole, because with the free movement guaranteed by the Directive, data flows are likely to switch to the "least burdensome" point of export. An overly strict approach, on the other hand, would fail to respect the legitimate needs of international trade and the reality of global telecommunications networks and risks creating a gap between law and practice which is damaging for the credibility of the Directive and for Community law in general.
|
En réalité, les transferts internationaux constituent un domaine dans lequel les lacunes en matière de mise en application de la directive créent un tel fossé. Les autorités nationales sont supposées notifier à la Commission les transferts qu'elles autorisent en vertu de l'article 26, paragraphe 2, de la directive. Depuis que la directive est entrée en vigueur en 1998, la Commission n'a reçu qu'un nombre très limité de ces notifications. Bien qu'il existe d'autres moyens possibles de transferts légaux que l'article 26, paragraphe 2, le nombre de notifications reçues est dérisoire par rapport à ce que l'on pourrait raisonnablement s'attendre. D'autres informations disponibles allant dans le même sens [33], il semblerait que de nombreux transferts non autorisés et éventuellement illégaux ont lieu vers des destinations ou des destinataires ne garantissant pas une protection adéquate. Cependant, il y a peu ou même aucun signe de mesures prises par les autorités de contrôle.
|
|
Indeed, international transfers appear to be an area where the lack of enforcement action creates such a gap. National authorities are supposed to notify the Commission when they authorise transfers under Article 26 (2) of the Directive. Since the Directive came into operation in 1998, the Commission has received only a very limited number of such notifications. Although there are other legal transfer routes apart from Article 26 (2), this number is derisory by comparison with what might reasonably be expected. Combined with other evidence pointing in the same direction [33], this suggests that many unauthorised and possibly illegal transfers are being made to destinations or recipients not guaranteeing adequate protection. Yet there is little or no sign of enforcement actions by the supervisory authorities.
|
[33] Le rapport approuvé en mai 2001 par la Conférence de printemps des autorités de protection des données a révélé que la plupart des autorités nationales de contrôle étaient incapables de fournir le nombre d'opérations de traitement impliquant des transferts internationaux de données. Lorsque ces chiffres sont disponibles, ils sont peu significatifs (600 transferts à partir de la France, 1 352 de l'Espagne et 150 du Danemark).
|
|
[33] The report approved by the Spring Conference of Data Protection Authorities in May 2001 showed that most national supervisory authorities were unable to indicate the number of processing operations that affected international transfer of data. Where figures were available, they were insignificant (600 transfers from France, 1352 from Spain and 150 from Denmark)
|
Les transferts qui nécessitent une autorisation et une notification engendrent naturellement des contraintes administratives considérables, tant pour les exportateurs de données que pour les autorités de contrôle. Il est dès lors souhaitable de recourir davantage aux "autorisations en bloc" prévues aux articles 25, paragraphe 6, et 26, paragraphe 4, de la directive. À ce jour, il n'a été produit que quatre constats de niveau adéquat de protection pour des pays tiers (Hongrie, Suisse, Canada et la Base sécurisée américaine [34]) et deux séries de clauses contractuelles types, la première pour les transferts de données à des responsables du traitement dans des pays tiers et l'autre pour les transferts à des organismes de sous-traitement. Il convient de travailler davantage à la simplification des conditions des transferts internationaux.
|
|
Transfers requiring authorisation and notification do of course create a considerable administrative burden, both for data exporters and for supervisory authorities. It is therefore desirable that more use be made of the "block authorisations" provided for in Articles 25(6) and 26(4) of the Directive. These have so far produced only four adequacy findings for third countries (Hungary, Switzerland, Canada, and the US Safe Harbor [34]) and two sets of standard contractual clauses, one for transfers to data controllers in third countries and one for transfers to processors. More work is needed on the simplification of the conditions for international transfers.
|
[34] Il existe également une décision de la Commission en voie de finalisation sur la protection adéquate en Argentine.
|
|
[34] There is also a Commission decision on adequate protection in Argentina close to finalisation.
|
|
|
|
5. Le traitement des données constituées par des sons et des images
|
|
5. The processing of sound and image data
|
Pendant les travaux préparatoires à l'élaboration de la directive, plusieurs personnes ont fait part de leur crainte, qu'elle ne soit pas à même de tenir compte des évolutions technologiques futures. L'ampleur de celles-ci n'était pas connue; les préoccupations portaient cependant sur le fait qu'un texte rédigé essentiellement en se basant sur le traitement de texte pourrait poser certaines difficultés quand il serait appliqué au traitement de données constituées par des sons et des images. C'est la raison pour laquelle l'article 33 de la directive contient une disposition spécifique relative à ce type de données.
|
|
During the Directive's preparation, some people were concerned that it might not be able to cope with future technological developments. The extent of such technological developments was uncertain, but there was concern that a text drafted mainly with text processing in mind could encounter difficulties when applied to the processing of sound and image data. For this reason, Article 33 contains a specific reference to sound and image data.
|
Pour rédiger la présente analyse, la Commission s'est basée d'une part sur une étude menée par un contractant externe visant à analyser la situation dans les États membres et d'autre part sur des contributions des États membres eux-mêmes et des autorités nationales de contrôle. Les informations collectées montrent que le traitement des données constituées par des sons et des images entre dans le champ d'application de toutes les lois nationales transposant la directive et que l'application de cette dernière à ces types de traitement n'a pas posé de problème particulier jusqu'à présent.
|
|
The Commission has based this review on a study carried out by an external contractor to analyse the situation in the Member States and on contributions from the Member States themselves and the national supervisory authorities. The information received shows that the processing of sound and image data falls within the scope of all national laws implementing the Directive and that the application of the Directive to these categories of processing has not been particularly problematic.
|
Dans la plupart des États membres, les dispositions (générales) qui s'appliquent au traitement des données constituées par des sons et des images sont identiques à celles qui s'appliquent aux autres données personnelles. Deux États membres seulement (l'Allemagne et le Luxembourg) ont inclus des dispositions spécifiques sur le traitement des sons et des images dans la législation qu'ils ont adoptée pour transposer la directive. Trois États membres (Danemark, Suède et Portugal) ont prévu des dispositions spécifiques sur la vidéo-surveillance dans des lois distinctes. Malgré les doutes émis pendant les négociations de la directive, les États membres sont donc arrivés à la conclusion que l'ambition qu'ils s'étaient fixés d'une directive neutre au plan technologique était atteinte, du moins en ce qui concerne le traitement des données constituées par des sons et des images.
|
|
In most Member States the same (general) provisions apply to the processing of sound and image data as apply to other personal data. Only two Member States (Germany and Luxembourg) have included specific provisions on the processing of sound and image in their laws implementing the Directive. Three Member States (Denmark, Sweden and Portugal) have special provisions on video surveillance in separate laws. Despite the doubts raised during the negotiation of the Directive, Member States have thus reached the conclusion that the Directive's ambition to be technology-neutral is achieved, at least as regards the processing of sound and image data.
|
Aucun État membre ni aucun autre contributeur n'a proposé de modification à la directive dans ce domaine. Les propositions conjointes déposées par l'Autriche, la Finlande, la Suède et le Royaume-Uni font part de certaines préoccupations quant à la capacité de la directive à tenir compte de certaines évolutions technologiques mais ne contiennent aucune proposition concrète en rapport direct avec cette question.
|
|
No Member State or other contributor has proposed modifications to the Directive in this regard. The joint proposals tabled by Austria, Finland, Sweden and the United Kingdom express some concern about the ability of the Directive to cope with certain technological developments, but do not contain any concrete proposals directly related to this issue.
|
Un des ateliers de la conférence sur la mise en oeuvre de la directive était entièrement consacré à cette question. Le sujet principal était la vidéo-surveillance, la matière qui (juste avant la biométrie) a bénéficié jusqu'à présent du plus d'attention de la part des autorités nationales de contrôle. Les participants ont estimé qu'il n'y avait pas eu jusqu'à présent suffisamment de débats publics autour des limites à imposer à l'utilisation de la vidéo-surveillance pour garantir certains droits et libertés dans une société démocratique. Le groupe de travail Article 29 a également consacré beaucoup de temps à cette question et a approuvé un projet de document de travail qui a été publié sur le site web de la Commission consacré à la protection des données, avec invitation aux parties intéressées à faire part de leurs commentaires.
|
|
One of the workshops of the conference on the implementation of the Directive was entirely devoted to this issue. The main topic was video surveillance, the issue (followed by biometrics) that has received most attention so far from the national supervisory authorities. Participants believed that there has so far been insufficient public debate about the limits that needed to be placed on the use of video surveillance in order to safeguard certain rights and freedoms in a democratic society. The Article 29 Working Party has also devoted considerable energies to this issue and has approved a draft working document which has been published in the data protection web-site of the Commission, inviting comments from interested parties.
|
Il y a également un certain nombre de questions juridiques et pratiques qui découlent de la mise en oeuvre de la directive dans les États membres en ce qui concerne les données constituées de sons et d'images et qui soulèvent certaines interrogations de la part des opérateurs appelés à appliquer la législation et des individus souhaitant exercer leurs droits en matière de protection des données.
|
|
There is in addition a number of legal and practical issues resulting from the implementation of the Directive in the Member States as regards sound and image data that create some uncertainty for operators called on to comply with the legislation and for individuals entitled to exercise their data protection rights.
|
Il subsiste, par exemple, des interrogations en ce qui concerne les définitions de la directive, notamment quand il s'agit de déterminer dans quelle mesure une image isolée ou une empreinte digitale peut être considérée comme une donnée personnelle lorsque le responsable du traitement ne pourra pas ou très probablement pas identifier un individu, de savoir si un simple contrôle constitue une opération de traitement ou de déterminer la manière d'interpréter raisonnablement le concept de donnée sensible. La Commission reconnaît que des réponses sont données à toutes ces questions dans les législations nationales transposant la directive mais considère qu'il est impératif de fournir davantage d'orientations en la matière. Ces orientations devraient être réalistes et pragmatiques si l'objectif est d'aider à améliorer le respect de la directive et devraient autant que possible être coordonnées entre les États membres. La Commission se réjouit des travaux menés jusqu'à présent par le groupe de travail Article 29 sur cette question et l'encourage à continuer à fournir des orientations utiles sur la base des contributions fournies par les parties intéressées.
|
|
There are for instance uncertainties as regards the definitions of the Directive, for example, to what extent an isolated image or a finger print can be considered personal data in those cases where the data controller is unable or extremely unlikely to identify an individual; or whether simple monitoring constitutes a processing operation or how to achieve a reasonable interpretation of the concept of sensitive data. The Commission acknowledges that there are answers to all these questions in the national legislation transposing the Directive, but considers it necessary that more guidance is provided. This guidance needs to be realistic and pragmatic if it is to help improve compliance and should as far as possible be co-ordinated between the Member States. The Commission welcomes the Article 29 Working Party's work in this area so far and encourages it to continue to provide useful guidance, with appropriate input from interested parties.
|
|
|
|
6. Programme de travail pour une meilleure mise en application de la directive sur la protection des données (2003-2004)
|
|
6. work programme for a better implementation of the data protection directive (2003-2004)
|
L'examen de la mise en application de la directive dans les États membres qui fait l'objet du présent rapport a mis en évidence des problèmes qu'il conviendrait de résoudre pour qu'elle puisse produire pleinement les effets escomptés. Le programme de travail qui suit comporte les actions qui seront menées entre l'adoption du présent rapport et la fin 2004; il nécessitera des efforts conjoints de la Commission européenne, des États membres (y compris des pays en voie d'adhésion) et de leurs autorités nationales de contrôle ainsi que, dans certains cas, des représentants des responsables du traitement.
|
|
The analysis of the implementation in the Member States contained in this report reveals problems which need to be addressed if the Directive is to have its full intended effects. The work plan that follows comprises actions that will take place from the adoption of this report until the end of 2004 and will require the joint efforts of the European Commission, the Member States (including the candidate countries) and their national supervisory authorities and in some cases also those of data controllers' representatives.
|
Une préoccupation générale majeure mentionnée plus haut est le fait que le niveau de mise en application, de respect et de connaissance n'apparaît pas acceptable. Dans le cadre d'une action globale liée à l'ensemble des initiatives énumérées ci-après, la Commission travaillera avec les États membres, les autorités de contrôle et les parties intéressées pour déterminer les causes et définir les solutions envisageables à cette série de problèmes.
|
|
A general, serious concern indicated above is that the level of compliance, enforcement and awareness appears not to be at an acceptable level. As a general action point applicable to all initiatives listed below, the Commission will work with the Member States, supervisory authorities and interested parties to determine the causes of and design feasible solutions for this set of problems.
|
Actions de la Commission
|
|
Commission's initiatives
|
Action 1 : Discussions avec les États membres et les autorités chargées de la protection des données
|
|
Action 1 : Discussions with Member States and Data Protection Authorities
|
Au cours de l'année 2003, les services de la Commission organiseront des réunions bilatérales avec les États membres pour discuter essentiellement des changements à apporter à leur législation nationale pour la rendre intégralement conforme aux exigences de la directive. Sur certains points, la participation des autorités compétentes en matière de protection des données pourrait s'avérer nécessaire. Ces discussions bilatérales pourraient également être l'occasion d'examiner la nécessité de renforcer les mesures visant à mieux faire respecter la directive. Le manque de ressources allouées aux autorités de contrôle devrait également être discuté.
|
|
During 2003 the Commission services will hold bilateral meetings with the Member States with the main purpose of discussing necessary changes to bring national legislation fully in line with the requirements of the Directive. The involvement of the competent data protection authority may be necessary on some issues. The need for more vigorous enforcement may also be a topic in these bilateral discussions. The lack of resources allocated to supervisory authorities should also be discussed.
|
Ces réunions seront complétées par des discussions sur l'application incorrecte de la directive lors de "réunions package" qui sont organisées périodiquement avec les États membres par le Secrétariat général de la Commission et/ou la DG Marché intérieur.
|
|
Such meetings may be supplemented by discussions on the incorrect implementation of the Directive at the "package meetings" that are periodically organised with Member States by the Secretariat General of the Commission and/or DG Internal Market.
|
Les discussions qui auront lieu au sein du groupe de travail Article 29 et du comité Article 31 seront l'occasion d'aborder sur une base multilatérale certaines questions qui concernent un grand nombre d'États membres, étant entendu qu'il n'est absolument pas question que ces discussions débouchent sur une modification de facto de la directive. En plus des discussions ad hoc sur des questions spécifiques, la Commission propose que chaque groupe consacre une réunion complète à ce sujet au cours de l'année 2003.
|
|
Discussions in the Article 29 Working Party and in the Article 31 Committee will enable certain issues affecting a large number of Member States to be tackled on a multilateral basis, it being understood that there can be no question of such discussions leading to a de facto amendment of the Directive. In addition to ad hoc discussions on specific issues, the Commission proposes that each group devotes one complete meeting to this subject in the course of 2003.
|
Action 2 : Association des pays candidats aux efforts visant à une mise en application de meilleure qualité et plus uniforme de la directive
|
|
Action 2 : Association of the candidate countries with efforts to achieve a better and more uniform implementation of the Directive
|
Le présent rapport s'est attaché presqu'exclusivement à la situation dans les quinze États membres. Avant que le programme de travail n'arrive à son terme, dix nouveaux États membres auront rejoint l'Union. Des représentants des autorités de contrôle de plusieurs pays candidats participent depuis 2002 aux réunions du groupe de travail Article 29. À partir de la date de la signature des traités d'adhésion, les futurs États membres seront invités à toutes les réunions du groupe de travail et du comité Article 31. Dans toute la mesure du possible, des discussions bilatérales et, éventuellement des évaluations par les pairs continueront d'être menées jusqu'à et après l'adhésion, afin de parvenir au meilleur alignement possible de la législation des nouveaux États membres sur la directive et de réduire au maximum les procédures d'infraction formelles.
|
|
This report has focused almost entirely on the situation in the 15 Member States. Before the work plan has been completed, 10 new Member States will have joined the Union. Representatives of the supervisory authorities of several candidate countries have been attending meetings of the Article 29 Working Party since 2002. From the date of signature of the Treaties of Accession the acceding countries will be invited to all meetings of both the Working Party and the Article 31 Committee. To the extent reasonably possible, bilateral discussions and possibly peer reviews will also be continued up to and beyond accession, in order to achieve the best possible alignment of the legislation of the new Member States with the Directive and to keep formal infringement procedures to a minimum.
|
Action 3 : Amélioration de la notification de l'ensemble des actes légaux transposant la directive et notifications des autorisations accordées en vertu de l'article 26, paragraphe 2, de la directive
|
|
Action 3 : Improving the notification of all legal acts transposing the Directive and notifications of authorisations granted under Article 26(2) of the Directive
|
En étroite collaboration avec les autorités chargées de la protection des données et avec les États membres, les services de la Commission continueront à collecter toutes les informations utiles au sujet de la mise en application de la directive, identifieront en particulier les domaines dans lesquels il subsiste des lacunes manifestes au niveau des mesures de mise en oeuvre notifiées et solliciteront la collaboration des États membres pour combler ces lacunes le plus rapidement possible. La Commission facilitera l'échange des meilleures pratiques lorsque cela permettra de faire avancer les choses.
|
|
The Commission's services, in close co-operation with the Data Protection Authorities and the Member States, will continue with the collection of information about the implementation of the Directive and will in particular identify the areas where there are clear gaps in the implementing measures notified and seek the co-operation of the Member States in filling these gaps as quickly as possible. The Commission will facilitate the exchange of best practice where this might help.
|
La Commission utilisera les prérogatives formelles que lui confère l'article 226 du traité lorsque cette approche concertée (6.1, 6.2 et 6.3) ne produira pas les résultats escomptés.
|
|
The Commission will use its formal powers under Article 226 of the Treaty if this co-operative approach (6.1, 6.2 and 6.3) fails to produce the necessary results.
|
Les États membres et leurs autorités de contrôle doivent également mettre en place les mécanismes nécessaires à la notification (ainsi qu'exigé par l'article 26, paragraphe 3 de la directive) des autorisations nationales de transferts internationaux accordées en vertu de l'article 26, paragraphe 2, de la directive. La Commission discutera cette question avec les États membres et leurs autorités de contrôle et veillera à l'échange des meilleures pratiques.
|
|
The Member States and their supervisory authorities also need to put in place the necessary arrangements to notify (as required by Article 26(3) of the Directive) national authorisations for international transfers granted under Article 26(2) of the Directive. The Commission will discuss this with the Member States and their supervisory authorities and ensure the exchange of best practice.
|
La Commission créera une nouvelle page sur son site web [35] sur laquelle elle stockera, sous une forme structurée, non seulement l'ensemble des informations collectées pour la préparation du présent rapport mais également toutes les informations utiles concernant les travaux à mener dans le cadre du programme de travail. Elle invitera également les autorités nationales de contrôle à lui fournir, en vue de leur ajout sur ce site web, les décisions et recommandations adoptées par les autorités chargées de la protection des données ainsi que les conseils significatifs publiés par elle, en mettant plus particulièrement l'accent sur les domaines pour lesquels une interprétation et une application plus uniformes de la loi sont nécessaires.
|
|
The Commission will create a new page on its web-site [35] where it will post in a structured form not only all information collected for the preparation of this report, but also information about the work to be carried out under this work plan. It will also invite national supervisory authorities to make available for inclusion in this web-site decisions and recommendations adopted by data protection authorities and significant items of guidance issued by them, with an emphasis on areas where a more even interpretation and application of the law is necessary.
|
[35] www.europa.eu.int/comm/privacy
|
|
[35] www.europa.eu.int/comm/privacy
|
Contribution du groupe de travail Article 29 [36]
|
|
Article 29 Working Party's contribution [36]
|
[36] La présente liste ne préjuge en rien du programme de travail général du groupe de travail "Article 29" qui est disponible à l'adresse suivante: http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf
|
|
[36] This list is without prejudice to the general work programme of the Article 29 Working Party, available at http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf
|
La Commission se félicite des efforts entrepris par le groupe de travail en vue d'arriver à une application plus uniforme de la directive. Elle souhaite rappeler l'importance de la transparence du processus suivi et encourage le groupe de travail pour les efforts qu'il entreprend actuellement en vue d'améliorer la transparence de ses travaux.
|
|
The Commission welcomes the Working Party's contributions to achieving a more uniform application of the Directive. It wishes to recall the importance of transparency in this process and encourages the efforts the Working Party is currently undertaking further to enhance the transparency of its work.
|
Action 4 : Respect de la directive
|
|
Action 4 : Enforcement
|
La Commission souhaiterait que le groupe de travail Article 29 discute périodiquement de la question générale du meilleur respect de la directive. Ces discussions devraient conduire entre autres à l'échange et à l'adoption de meilleures pratiques. Le groupe de travail devrait également envisager de lancer des enquêtes sectorielles au niveau communautaire et de tenter de définir des normes en la matière. L'objectif de ces enquêtes conjointes serait de fournir une vue d'ensemble plus précise de la mise en application des législations en matière de protection des données dans la Communauté ainsi que de formuler des recommandations acceptées et de fournir des conseils pratiques aux secteurs concernés, dans le but d'améliorer le respect de la directive de la manière la moins contraignante possible.
|
|
The Commission calls on the Article 29 Working Party to hold periodic discussions on the overall question of better enforcement. This should inter alia lead to the exchange and adoption of best practices. The Working Party should also consider the launching of sectoral investigations at EU level and the approximation of standards in this regard. The aim of such joint investigations would be to provide a more accurate picture of the implementation of data protection law in the Community and make agreed recommendations and practical guidance to the sectors concerned with a view to improving compliance in the least burdensome ways possible.
|
Action 5 : Notification et publicité des opérations de traitement
|
|
Action 5 : Notification and publicising of processing operations
|
La Commission européenne partage dans une large mesure les critiques exprimées par les responsables du traitement au cours de l'évaluation concernant les différences dans la teneur des obligations qui leur incombent en matière de notification. La Commission recommande de recourir davantage aux exceptions et, en particulier, à la possibilité offerte à l'article 18, paragraphe 2, de la directive, à savoir de désigner un détaché à la protection des données, solution qui permet de déroger aux obligations en matière de notification.
|
|
The European Commission shares to a large extent the criticism expressed by data controllers during the review concerning the divergent content of notification obligations placed on data controllers. The Commission recommends a wider use of the exceptions and in particular of the possibility foreseen in Article 18(2) of the Directive, that is the appointment of a data protection officer which creates an exemption from notification requirements.
|
La Commission invite le groupe de travail Article 29 à contribuer à une mise en application plus uniforme de la directive en formulant des propositions visant à une simplification substantielle des obligations en matière de notification dans les États membres et à l'introduction de mécanismes de coopération facilitant les notifications par les multinationales ayant des établissements dans plusieurs États membres. Il est possible que ces propositions doivent inclure des propositions d'amendements aux législations nationales. La Commission est elle-même disposée à formuler des propositions si le groupe de travail n'est pas à même de le faire dans une période raisonnable (12 mois).
|
|
The Commission calls on the Article 29 Working Party to contribute to a more uniform implementation of the Directive by putting forward proposals for a substantial simplification of the notification requirements in the Member States and for co-operation mechanisms to facilitate notifications by multinational companies with establishments in several Member States. These proposals may need to include proposed amendments to national legislation. The Commission is prepared itself to make proposals if the Working Party is unable to do so within a reasonable period (12 months).
|
Action 6 : Dispositions davantage harmonisées en matière d'informations
|
|
Action 6 : More harmonised information provisions
|
La Commission est également d'avis que les obligations actuelles, caractérisées par leur diversité autant que par leur chevauchement, en matière d'informations que les responsables du traitement doivent fournir aux personnes concernées introduit des contraintes inutiles pour les opérateurs économiques, sans contribuer à améliorer le niveau de protection.
|
|
The Commission shares the view that the present patchwork of varying and overlapping requirements as regards the information that controllers have to provide to data subjects is unnecessarily burdensome for economic operators, without adding to the level of protection.
|
Dans la mesure où les obligations en matière d'informations imposées aux responsables du traitement ne sont pas conformes à la directive, on espère qu'une solution pourra être trouvée rapidement à travers le dialogue avec les États membres et l'adoption par ceux-ci de mesures législatives correctrices. Par ailleurs, la Commission invite le groupe de travail Article 29 à participer à la recherche d'une interprétation plus uniforme de l'article 10.
|
|
In so far as information requirements placed on data controllers are inconsistent with the Directive, it is hoped that this can be remedied expeditiously through dialogue with the Member States and corrective legislative action by them. In addition, the Commission calls on the Article 29 Working Party to co-operate in the search for a more uniform interpretation of Article 10.
|
Action 7 : Simplification des obligations en matière de transferts internationaux
|
|
Action 7 : Simplification of the requirements for international transfers
|
Parallèlement aux discussions visant à introduire les changements nécessaires dans la législation des États membres en vue d'assurer la conformité avec la directive, la Commission prie le groupe de travail Article 29 d'utiliser le dernier rapport du séminaire sur le traitement des plaintes internationales comme base pour les futures discussions dans l'optique d'un rapprochement substantiel des pratiques actuelles des États membres et d'une simplification des conditions des transferts internationaux de données.
|
|
In parallel to the discussions that are intended to bring about the necessary changes in Member State law to ensure conformity with the Directive, the Commission calls on the Article 29 Working Party to use the last report of the international complaint handling workshop as a basis for further discussions with a view to a substantial approximation of existing practices in the Member States and the simplification of the conditions for international data transfers.
|
La Commission elle-même entend faire un usage plus large des prérogatives que lui confèrent les articles 25, paragraphe 6, et 26, paragraphe 4, qui constituent le meilleur moyen de simplifier le cadre réglementaire pour les opérateurs économiques tout en offrant un niveau de protection adéquat pour les données transférées à l'extérieur de l'UE.
|
|
The Commission itself intends to make more extensive use of its powers under Articles 25(6) and 26(4) which provide the best means of simplifying the regulatory framework for economic operators, while ensuring adequate protection for data transferred outside the EU.
|
En coopération avec le groupe de travail Article 29 et avec le comité Article 31, la Commission espère réaliser des progrès dans les quatre domaines suivants:
|
|
With the co-operation of the Article 29 Working Party and the Article 31 Committee, the Commission expects to see progress in four areas:
|
a) une utilisation plus large des constats de niveau de protection adéquats en ce qui concerne les pays tiers conformément à l'article 26, paragraphe 6, tout en conservant naturellement une approche uniforme vis-à-vis des pays tiers conforme aux obligations de l'UE dans le cadre de l'OMC;
|
|
a) a more extensive use of findings of adequate protection in respect of third countries under Article 25(6), while maintaining of course an even-handed approach vis-à-vis third countries in line with the EU's WTO obligations;
|
b) de nouvelles décisions sur la base de l'article 26, paragraphe 4, de sorte que les opérateurs économiques disposent d'un choix plus vaste de clauses contractuelles types, dans toute la mesure du possible basées sur des clauses soumises par des organismes représentatifs des entreprises comme, par exemple, celles transmises par la Chambre de commerce internationale et d'autres fédérations d'entreprises;
|
|
b) further decisions on the basis of Article 26(4) so that economic operators have a wider choice of standard contractual clauses, to the extent possible based on clauses submitted by business representatives, for example those submitted by the International Chamber of Commerce and other business associations;
|
c) le rôle des règles contraignantes d'entreprises (règles qui lient des groupes d'entreprises établies dans plusieurs juridictions différentes, tant à l'intérieur qu'à l'extérieur de l'UE) dans la fourniture des garanties adéquates pour les transferts de données personnelles à l'intérieur des groupes;
|
|
c) the role of binding (intra) corporate rules (e.g. internal rules that bind a given multi-national corporate group doing business in several different jurisdictions, both inside and outside the EU) in providing adequate safeguards for intra-group transfers of personal data;
|
d) une interprétation plus uniforme de l'article 26, paragraphe 1, de la directive (dérogations permises à l'obligation de niveau de protection adéquat pour les transferts vers les pays tiers) et de ses dispositions nationales d'application.
|
|
d) the more uniform interpretation of Article 26(1) of the Directive (permitted exceptions to the adequate protection requirement for transfers to third countries) and the national provisions implementing it.
|
L'ensemble de ces travaux devraient être menés dans un cadre offrant un degré de transparence approprié et sur la base de contributions fournies périodiquement par les parties intéressées.
|
|
All this work should be carried out with an appropriate degree of transparency and with periodic input from stakeholders.
|
Autres initiatives
|
|
Other initiatives
|
Action 8 : Promotion des technologies renforçant la protection de la vie privée
|
|
Action 8 : Promotion of Privacy Enhancing Technologies
|
La Commission travaille déjà dans le domaine des technologies renforçant la protection de la vie privée, notamment au niveau de la recherche comme, par exemple, les projets RAPID [37] et PISA [38].
|
|
The Commission is already doing work in the field of privacy-enhancing technologies, especially at the research level, like for instance the RAPID [37] and PISA [38] projects.
|
[37] "Roadmap for Advanced Research in Privacy and Identity Management".
|
|
[37] Roadmap for Advanced Research in Privacy and Identity Management
|
[38] "Privacy-Enhancing Intelligent Software Agents".
|
|
[38] Privacy-Enhancing Intelligent Software Agents
|
Elle propose d'organiser en 2003 un séminaire technique dans le but d'accroître le niveau de sensibilisation aux technologies permettant de renforcer la protection de la vie privée et de donner la possibilité de discuter en profondeur les mesures qui pourraient être prises pour promouvoir le développement et l'utilisation de ces technologies comme, par exemple, le rôle que les labels de qualité, systèmes de certification ou évaluations d'impact sur la vie privée (EIVP) [39] pourraient jouer en Europe.
|
|
It proposes to organise a technical workshop in 2003 in order to increase awareness regarding PETs and to offer an opportunity to discuss in depth the measures that could be taken to promote the development and use of PETs, such as for instance the role that seals, certification systems or PIAs [39] could play in Europe.
|
[39] Évaluation d'impact sur la vie privée.
|
|
[39] Privacy Impact Assessments
|
Elle invite le groupe de travail à poursuivre les discussions sur la question des technologies permettant de renforcer la protection de la vie privée et de réfléchir sur les mesures que les autorités nationales de contrôle pourraient prendre pour promouvoir l'utilisation de ces technologies au niveau national.
|
|
It invites the Working Party to continue discussing the issue of PETs and to reflect on possible measures the national supervisory authorities could take in order to promote the use of these technologies at national level.
|
Après ce séminaire technique et en tenant compte des contributions reçues, la Commission élaborera de nouvelles propositions pour la promotion des technologies permettant de renforcer la protection de la vie privée au niveau européen. Ces propositions tiendront plus particulièrement compte de la nécessité d'encourager les gouvernements et les institutions du secteur public à donner le bon exemple en utilisant ces technologies dans leurs propres opérations de traitement, par exemple dans leurs applications d'e-gouvernements.
|
|
After the technical workshop, and taking on board the input received, the Commission will make further proposals for the promotion of privacy-enhancing technologies at European level. These proposals will pay special attention to the need to encourage governments and public sector institutions to set a good example by using PETs in their own processing operations, for instance in e-government applications.
|
Action 9 : Promotion de l'auto-réglementation et des codes de conduite européens
|
|
|
La Commission est déçue que si peu d'organisations soient venues avec des codes de conduite sectoriels pouvant être appliqués au niveau communautaire. Elle continuera à encourager et (dans les limites des ressources disponibles) à donner son avis sur les projets de codes de conduite soumis pour examen par le groupe de travail Article 29 [40]. Elle encourage les différents secteurs et groupes d'intérêts à jouer un rôle plus proactif car elle est convaincue que l'auto-réglementation et, en particulier, les codes de conduite, peuvent jouer un rôle important dans le développement futur de la protection des données au sein de l'UE et en dehors de celle-ci, notamment pour éviter l'adoption de législations excessivement détaillées.
|
|
Action 9 : Promotion of self-regulation and European Codes of Conducts
|
[40] Pour l'heure, le groupe de travail Article 29 examine les différentes propositions suivantes: un Code de conduite pour le marketing direct émanant de la FEDMA; un Code de conduite sur le traitement des données à caractère personnel par les bureaux de recherche de cadres (chasseurs de têtes) soumis par l'AESC et un Code de conduite pour l'identification paneuropéenne des lignes appelantes déposé par l'ETP. Une requête précédente de l'IATA ne remplissait pas les conditions imposées aux codes de conduite en vertu de l'article 27 de la directive mais a reçu un commentaire positif de la part du groupe de travail Article 29 dans son avis WP 49 adopté le 13 septembre 2001. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf
|
|
The Commission is disappointed that so few organisations have come forward with sectoral Codes of Conduct for application at Community level. It will keep on encouraging and giving advice on (within the limits imposed by the resources available) draft codes of conduct submitted for the consideration of the Article 29 Working Party [40]. It encourages sectors and interest groups to take a much more pro-active role, as it believes that self-regulation, and in particular codes of conduct should play an important role in the future development of data protection in the EU and outside, not least in order to avoid excessively detailed legislation.
|
Dans la même optique, la Commission a indiqué dans son document de consultation adressé aux partenaires sociaux européens relatif à la protection des données personnelles dans le contexte de l'emploi, qu'elle souhaitait vivement que ceux-ci entament des négociations afin de conclure un accord européen dans ce domaine. La Commission regrette que les partenaires sociaux n'aient pas accepté de négocier sur cette question et espère que la possibilité de conclure des conventions collectives dans ce domaine continuera d'être envisagée.
|
|
[40] The Article 29 Working Party is considering at the moment the following submissions: Code of conduct on direct marketing submitted by FEDMA; Code of conduct on the processing of personal data by executive search consultants (head-hunters) submitted by AESC and Code of conduct on pan-European calling line identification submitted by ETP. A previous request from IATA did not fulfil the requirements for a code of conduct under Article 27 of the Directive but received a positive comment from the Article 29 Working on its opinion WP 49 adopted on 13 September 2001. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf
|
Action 10 : Sensibilisation
|
|
To the same end, the Commission expressed, in its consultation document addressed to the European social partners on personal data protection in the employment context, its strong hope that they will engage in negotiations with a view to concluding a European agreement in this field. The Commission regrets that the social partners did not agree to negotiate on this issue and hopes that the avenue of collective agreements in this field will be further explored.
|
La Commission a l'intention de lancer un sondage Eurobaromètre reprenant les questions contenues dans la consultation en ligne menée en 2002. Elle espère que certaines autorités chargées de la protection des données seront associées à ce projet et que des efforts seront menés conjointement pour faire de la protection des données un sujet de débat public. Elle encourage les États membres à consacrer davantage de ressources à la sensibilisation, en particulier par le biais des budgets des autorités nationales de contrôle.
|
|
Action 10 : Awareness raising
|
|
|
The Commission intends to launch a Eurobarometer survey along the lines of the questions contained in the on-line consultation carried out in 2002. It hopes that some data protection authorities will be associated with this initiative and that there will be joint efforts to make data protection issues the subject of public debate. It encourages Member States to devote more resources in awareness raising, in particular via the budgets of the national supervisory authorities.
|
7. Conclusions
|
|
|
Le présent rapport constitue une première étape de l'analyse des informations concernant la mise en oeuvre de la directive 95/46/CE et de l'identification des actions nécessaires pour résoudre les principaux problèmes qui sont apparus. La Commission espère que cette analyse aidera les gouvernements, les autorités chargées de la protection des données et les opérateurs à clarifier ce qu'il convient de faire pour améliorer l'application de la directive dans l'UE, en en améliorant la mise en oeuvre, en en accentuant le respect et en sensibilisant davantage les personnes concernées et les responsables du traitement à leurs droits et obligations.
|
|
7. Conclusion
|
La Commission espère que, lorsque cela est nécessaire, les États membres modifieront leur législation pour se conformer aux dispositions de la directive et alloueront des ressources suffisantes aux autorités de contrôle. La Commission attend également que les États membres et les autorités de contrôle entreprennent tout ce qui doit raisonnablement l'être pour créer un environnement au sein duquel les responsables du traitement - en particulier ceux opérant à un niveau paneuropéen et/ou international - pourront se conformer à leurs obligations de façon moins compliquée et moins contraignante et pour éviter d'imposer des exigences qui pourraient être abandonnées sans que cela n'ait aucun effet néfaste sur le haut niveau de protection garanti par la directive.
|
|
This report constitutes a first step in the analysis of information concerning the implementation of Directive 95/46/EC and the identification of the actions necessary to address the main problems that have emerged. The Commission hopes that this analysis will help governments, data protection authorities and operators to clarify what needs to be done to achieve a better application of the Directive in the EU, with more vigorous enforcement, better compliance and greater awareness of their rights and obligations among data subjects and data controllers.
|
La Commission encourage les citoyens à faire usage des droits que leur confère la législation et les responsables du traitement à prendre toutes les mesures requises pour respecter cette législation. La Commission suivra de près les nouveaux développements technologiques et les résultats du programme de travail proposé dans le présent rapport et formulera d'ici à la fin 2004 des propositions de suivi supplémentaire, date à laquelle tant la Commission que les États membres bénéficieront d'une expérience sensiblement plus étendue qu'actuellement en ce qui concerne la mise en application de la directive.
|
|
The Commission expects that, where necessary, Member States will amend their legislation to achieve compliance with the provisions of the Directive and provide supervisory authorities with sufficient resources. The Commission also expects that Member States and supervisory authorities will make all reasonable efforts to create an environment in which data controllers - and not least those operating on a pan-European level and/or international level - can conform with their obligations in a less complex and burdensome way and to avoid imposing requirements that could be dropped without any detrimental effects for the high level of protection guaranteed by the Directive.
|
|
|
The Commission encourages citizens to make use of the rights conferred by the legislation and data controllers to take all necessary steps to guarantee compliance with the legislation. The Commission will closely monitor further technological developments and the results of the work programme contained in this report and make proposals for further follow-up towards the end of 2004, by which time both the Commission and the Member States will have the benefit of considerably more experience than at present with the implementation of the Directive.
|
|