ANNEXE

LIGNES DIRECTRICES POUR LA MISE EN ŒUVRE DE RÈGLES RELATIVES À LA PROTECTION DES DONNÉES POUR L’IMI

1.   L’IMI: UN OUTIL DE COOPÉRATION ADMINISTRATIVE

L’IMI est une application logicielle accessible par internet conçue par la Commission européenne en coopération avec les États membres. Sa fonction principale est d’aider les États membres lors de la mise en œuvre pratique des dispositions communautaires qui prévoient une assistance mutuelle et une coopération administrative. Il n’est pas une base de données ayant pour vocation de stocker des informations à long terme, mais un mécanisme central permettant aux autorités nationales des États membres de l’EEE d’échanger des informations, les données étant conservées à court terme.

Page de login de l’IMI

L’IMI permet à l’heure actuelle d’échanger des informations en relation avec la directive sur les «qualifications professionnelles» et, à partir de fin 2009, avec la directive «services». À l’avenir, il pourrait permettre des échanges d’informations en relation avec d’autres domaines législatifs du marché intérieur. La liste actualisée des textes communautaires couverts par l’IMI figure à l’annexe de la décision 2008/49/CE. Cette annexe sera occasionnellement modifiée. L’IMI ne peut être employé pour échanger des informations dans des domaines législatifs qui n’y figurent pas.

Exemple de l’affichage de l’application en ce qui concerne les autorités compétentes chargées des qualifications professionnelles

La coopération entre autorités nationales est essentielle au bon fonctionnement du marché intérieur. En l’absence de modalités pratiques pour la coopération administrative, les citoyens européens ne peuvent jouir de leurs droits au titre du marché intérieur, tels que la liberté d’établissement dans un autre État membre ou la liberté de prestation transfrontalière de services.

Quelques exemples

Une femme médecin allemande vivant à Berlin épouse un Français et décide de vivre à Paris. Elle souhaite exercer sa profession en France et présente donc ses qualifications et ses diplômes à l’ordre des médecins en France. La personne traitant le dossier a des doutes quant à l’authenticité de l’un des diplômes et utilise l’IMI pour effectuer une vérification auprès des autorités compétentes à Berlin.

Une entreprise française de nettoyage industriel propose ses services en France, mais aussi de l’autre côté de la frontière, en Catalogne. Une ONG espagnole introduit un recours auprès de l’administration catalane chargée de l’environnement en affirmant que l’entreprise française ne dispose pas du personnel qualifié pour manipuler certains produits nettoyants. Les autorités catalanes compétentes consultent l’IMI pour vérifier si l’entreprise de nettoyage exerce légalement ses activités en France.

La coopération administrative dans l’UE n’est pas une mince affaire. Elle nécessite de surmonter les barrières linguistiques (l’UE compte 23 langues officielles), l’absence de procédures administratives pour la coopération transfrontalière, les différences entre les structures et les cultures administratives et l’absence de partenaires bien déterminés dans les autres États membres.

Bien que les États membres soient responsables de la bonne application des règles du marché intérieur sur leurs territoires respectifs, la Commission estime que la mise à disposition d’outils peut leur permettre de mieux coopérer. C’est à cette fin que l’IMI a été conçu: il doit permettre de déterminer quelle est l’autorité compétente dans un État membre donné (fonction de recherche), de gérer les échanges d’informations sur la base de procédures simples et harmonisées et de supprimer les barrières linguistiques grâce à des ensembles de questions prédéfinies et prétraduites.

Captures d’écran montrant des questions dans les langues de deux autorités compétentes participant à l’échange d’informations

2.   PORTÉE ET OBJECTIF DES PRÉSENTES LIGNES DIRECTRICES

Les utilisateurs de l’IMI sont des spécialistes dans leurs domaines de compétence respectifs, qu’il s’agisse des règles qui s’appliquent à l’exercice d’une profession ou de la réglementation en matière de prestation de services. En revanche, ils ne sont pas experts en matière de protection des données, et ils ne sont peut-être pas toujours suffisamment conscients des exigences qu’impose à cet égard leur législation nationale.

Par conséquent, il est souhaitable de fournir aux utilisateurs de l’IMI des lignes directrices expliquant le fonctionnement de cette application du point de vue de la protection des données, les garde-fous qu’inclut le système et les risques associés à son utilisation (1).

Ces lignes directrices ne doivent pas être vues comme un panorama complet de tous les problèmes de protection des données susceptibles de se poser dans le contexte de l’IMI, mais comme des explications pratiques, un ensemble de règles à respecter compréhensibles pour tous les utilisateurs de l’IMI. En cas de besoin, les utilisateurs de l’IMI peuvent obtenir des informations supplémentaires et de l’aide auprès des autorités nationales chargées de la protection des données. Une liste de ces autorités, avec leurs coordonnées et l’adresse de leur site web, se trouve à la page suivante:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_fr.htm

3.   UN ENVIRONNEMENT FAVORABLE À LA PROTECTION DES DONNÉES

L’IMI a été développé en gardant à l’esprit les exigences de la réglementation sur la protection des données, et il facilite la protection des données de par sa conception.

Ses utilisateurs peuvent s’y fier en tant qu’application sûre du point de vue de la protection des données, comme le montrent ces quelques exemples:

a)	L’IMI n’est utilisé que par les autorités compétentes de l’Espace économique européen (États membres de l’UE plus Norvège, Islande et Liechtenstein), aucun transfert de données à caractère personnel n’ayant lieu hors de l’EEE.

b)	Ni la Commission européenne, ni les coordonnateurs IMI (2) n’ont accès aux données à caractère personnel des professionnels et des prestataires de services échangées via le système.

c)

Seules les autorités compétentes concernées par une demande d’informations ont le droit de voir les données à caractère personnel du prestataire de services (3). La protection des données va même jusqu’à empêcher le destinataire d’une demande de voir les données à caractère personnel relatives à un prestataire de services tant qu’il n’a pas officiellement accepté la demande en question. Exemple d’affichage d’une demande avant acceptation par le destinataire

d)	Toutes les données à caractère personnel relatives aux demandes sont automatiquement effacées du système six mois après la clôture d’une demande, voire plus tôt sur demande des autorités compétentes concernées (pour plus de détails, voir la section 12, qui traite de la durée de conservation).

4.   QUI EST QUI DANS L’IMI? LA QUESTION DU CONTRÔLE CONJOINT

L’IMI est un bon exemple de traitement conjoint et de contrôle conjoint. Ainsi, alors que seules les autorités compétentes des États membres échangent des données à caractère personnel, les données correspondantes sont stockées sur les serveurs de la Commission européenne sous sa responsabilité. Cette dernière n’a pas le droit de visualiser ces données, mais elle est l’exploitante du système et gère la suppression et la rectification physiques des données.

La répartition des responsabilités entre la Commission et les États membres a donc les conséquences suivantes:

a)	chaque autorité compétente ou coordonnateur IMI est le responsable du traitement en ce qui concerne ses propres activités de traitement des données;

b)	la Commission n’est pas un utilisateur du système, mais son gestionnaire, responsable en particulier de l’entretien et de la sécurité du système (4);

c)	les participants à l’IMI ont une responsabilité partagée en ce qui concerne les informations à fournir et le droit d’accès, d’opposition et de rectification.

Dans des situations complexes de contrôle conjoint telles que l’IMI, la solution la plus efficace, en ce qui concerne le respect des obligations, consiste à inclure dès l’origine la protection des données dans le système (voir la section «Travaux en cours» de la section 13, «Coopération avec les autorités chargées de la protection des données et le Contrôleur européen») et à définir un ensemble d’obligations conformément aux présentes lignes directrices. Tous les participants et tous les utilisateurs de l’IMI doivent respecter cet ensemble d’obligations.

5.   PARTICIPANTS ET UTILISATEURS DE L’IMI

Tous les utilisateurs de l’IMI sont validés par des coordonnateurs IMI. Les participants et les utilisateurs ainsi que leurs fonctions, leurs droits et leurs obligations sont détaillés aux articles 6 à 12 de la décision 2008/49/CE. Il n’est donc pas utile de les répéter ici.

Il faut bien comprendre que l’IMI est un système très souple dans lequel les États membres peuvent attribuer des responsabilités et des fonctions à des autorités compétentes et des coordonnateurs de nombreuses manières en fonction de leur structure administrative et des domaines législatifs sur lesquels porte la coopération administrative.

Il faut en outre garder à l’esprit que les utilisateurs de l’IMI, dans les États membres, sont chargés de nombreuses autres opérations de traitement. Il faut éviter que les règles en matière de protection des données dans l’IMI ne créent des complications inutiles ou une charge administrative excessive. Elles ne doivent pas non plus être appliquées de manière parfaitement uniforme.

Dans la plupart des cas, il suffira que les autorités compétentes effectuent les opérations de traitement dans l’IMI en respectant les règles et bonnes pratiques mises en place pour l’exercice de la fonction de responsable du traitement, en fonction des besoins et des dispositions réglementaires particulières en matière de protection des données de l’État membre concerné.

Elles devraient aussi tirer parti de l’environnement favorable à la protection des données qu’offre l’IMI. Ainsi, elles sont encouragées à demander que les données à caractère personnel échangées soient supprimées de l’IMI avant la fin de la période de conservation de six mois si elles n’ont plus besoin de conserver l’échange d’informations dans l’IMI.

6.   FONDEMENTS JURIDIQUES POUR L’ÉCHANGE D’INFORMATIONS PERSONNELLES DANS L’IMI

La décision 2008/49/CE adoptée par la Commission fixe les fonctions, les droits et les obligations des participants et des utilisateurs de l’IMI en ce qui concerne la mise en œuvre de ce système en matière de protection des données à caractère personnel.

Toutes les informations échangées via l’IMI n’ont pas un caractère personnel. Ainsi, les informations échangées peuvent concerner des personnes morales (5), ou la question et la réponse peuvent ne concerner aucune personne en particulier (par exemple s’il s’agit de savoir si une profession est réglementée dans un État membre donné).

Toutefois, dans de nombreux cas, les échanges d’informations portent sur des individus, auquel cas le traitement des données personnelles doit avoir un fondement juridique. Souvent, l’IMI est utilisé dans l’intérêt de la personne concernée, mais, même dans le cas contraire, des informations peuvent être échangées sur cette personne via l’IMI par les autorités compétentes si un fondement juridique le prévoit.

L’article 7 de la directive 95/46/CE énumère les fondements juridiques du traitement des données à caractère personnel. Les points c) et e) de l’article 7 sont ceux qui présentent le plus d’intérêt en ce qui concerne les échanges de données via l’IMI.

I)   Respect d’une obligation légale [article 7, point c)]

Les États membres de l’UE ont l’obligation générale de coopérer les uns avec les autres et avec les institutions communautaires. Cette obligation de coopération administrative est prévue explicitement et de manière spécifique dans les directives 2005/36/CE (reconnaissance des qualifications professionnelles) et 2006/123/CE (directive «services»).

L’article 56, paragraphes 1 et 2, de la directive sur la reconnaissance des qualifications professionnelles prévoit ce qui suit:

L’article 28, paragraphes 1 et 6, de la directive «services» prévoit ce qui suit:

L’article 34, paragraphe 1, de la directive «services» prévoit ce qui suit:

II)   Exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement [article 7, point e)]

Les participants et les utilisateurs de l’IMI exécutent des missions d’intérêt public ou qui relèvent de l’exercice de l’autorité publique dont ils sont investis. Tous les enregistrements auprès de l’IMI sont validés par le coordonnateur IMI, qui s’assure au préalable que l’autorité publique en question exécute des missions d’intérêt public (par exemple, pour les ordres des médecins ou des vétérinaires, vérifier que leurs membres respectent des règles sanitaires et d’étique) ou qui relèvent de l’exercice de l’autorité publique dont ils sont investis (par exemple, pour les ministères de l’éducation, que les enseignants du secondaire disposent des qualifications adéquates).

Sur la base de ce qui précède, l’IMI peut être utilisé pour échanger des données à caractère personnel au titre de la directive sur la reconnaissance des qualifications professionnelles et de la directive «services», aux fins prévues par lesdites directives. Les informations en rapport avec d’autres dispositions législatives du marché intérieur ne peuvent être échangées dans le cadre de l’IMI. Si la portée de l’IMI était élargie par la suite pour inclure des dispositions législatives supplémentaires, la référence des actes communautaires concernés serait ajoutée à l’annexe de la décision 2008/49/CE.

7.   LA QUESTION DU DROIT APPLICABLE ET DU CONTRÔLE APPROPRIÉ

Différentes dispositions législatives sont applicables selon le participant ou l’utilisateur de l’IMI. Ainsi, pour la Commission européenne, c’est le règlement (CE) no 45/2001 sur la protection des personnes à l’égard des données à caractère personnel qui s’applique. Pour un utilisateur national (par exemple une autorité publique), la loi applicable est la loi nationale sur la protection des données adoptée conformément à la directive 95/46/CE (directive sur la protection des données).

Cette dernière directive et le règlement (CE) no 45/2001 ont créé à l’échelon de l’Union européenne un cadre robuste en matière de protection des données (6). Les États membres disposent d’une certaine marge de manœuvre en ce qui concerne la mise en œuvre de la directive sur la protection des données. Les coordonnateurs IMI nationaux sont donc invités à discuter des présentes lignes directrices avec leurs autorités respectives en matière de protection des données, par exemple en ce qui concerne les informations à fournir aux personnes (voir la section 9 à ce sujet) ou l’obligation de notifier certaines opérations de traitement des données aux autorités chargées de la protection des données.

La directive 95/46/CE est une directive relative au marché intérieur qui poursuit un double objectif. L’harmonisation des législations internes en matière de protection des données vise, d’une part, à garantir un niveau élevé de protection des données et à protéger ainsi les droits fondamentaux des individus, ce qui permet, d’autre part, aux données à caractère personnel de circuler librement entre les États membres. Par conséquent, les spécificités nationales ne devraient avoir aucune incidence pratique ou majeure sur l’utilisation de l’IMI et l’échange d’informations prévus par d’autres actes communautaires.

L’une des caractéristiques les plus notables du cadre juridique communautaire en matière de protection des données est son contrôle par des autorités indépendantes. Il permet aux citoyens d’introduire des recours auprès de ces autorités afin de parvenir à un règlement rapide et extrajudiciaire des problèmes de protection des données. Le traitement des données à caractère personnel au niveau national est contrôlé par les autorités nationales chargées de la protection des données, et son traitement au niveau européen est contrôlé par le Contrôleur européen de la protection des données (CEPD). La Commission européenne est donc contrôlée par le CEPD, et les autres utilisateurs de l’IMI par les autorités nationales compétentes chargées de la protection des données. Pour plus de détails sur la manière de traiter les plaintes et les demandes de personnes concernées, voir la section 10 sur les droits d’accès et de rectification et la section 13 sur la coopération avec les autorités chargées de la protection des données et avec le CEPD.

8.   PRINCIPES DE PROTECTION DES DONNÉES APPLICABLES AUX ÉCHANGES D’INFORMATIONS

Le droit communautaire ne permet le traitement de données à caractère personnel qu’à certaines conditions (voir la section 6, «Fondements juridiques pour l’échange d’informations personnelles dans l’IMI») et conformément à certains principes que la directive sur la protection des données nomme «principes relatifs à la qualité des données» (voir l’article 6 de cette directive).

Les responsables du traitement des données ne doivent recueillir des données qu’à des fins légitimes et spécifiques, et non à des fins autres que celles indiquées lors de leur collecte. Ainsi, il ne serait pas légitime que des adresses recueillies afin de traiter des cas concernant des professionnels migrants dans le cadre de la directive «services» soient vendues par une autorité compétente à des entreprises privées qui les utiliseraient à des fins de marketing.

En outre, le traitement des données à caractère personnel doit être proportionné au regard des finalités poursuivies (il doit porter sur des données adéquates, pertinentes et non excessives) et le responsable du traitement des données doit prendre des mesures raisonnables pour que les données soient tenues à jour et qu’elles soient détruites ou rendues anonymes une fois que l’identification de la personne concernée n’est plus nécessaire. La qualité des données nécessite de bons principes de gestion de l’information: le bon système d’information n’est pas celui qui conserve de grandes quantités de données sans raison particulière, qui, en outre, risquent d’être rapidement dépassées. Un bon système de gestion électronique des informations ne recueille que les informations nécessaires à des fins définies à l’avance, et ces informations doivent être tenues à jour afin d’être parfaitement fiables.

En appliquant au fonctionnement de l’IMI ces principes en matière de qualité des données, on peut dégager les recommandations suivantes:

1)

L’utilisation de l’IMI doit être strictement limitée aux fins prévues par la législation applicable (par exemple en cas de doute justifié). Par conséquent, s’il est prévu que l’IMI devienne un moyen standard d’échanger des informations entre autorités compétentes, il ne doit en aucun cas être employé de manière systématique pour vérifier les antécédents des professionnels et des prestataires de services migrants.

2)

L’autorité compétente requérante ne doit fournir que les données à caractère personnel nécessaires à l’autorité compétente interrogée pour identifier sans risque d’erreur la personne en question ou pour répondre aux questions. Ainsi, si un professionnel migrant peut être identifié à l’aide de son nom et de son numéro d’enregistrement dans un registre professionnel, il ne sera pas nécessaire de fournir également son numéro d’identification personnel.

3)

Les utilisateurs de l’IMI doivent sélectionner les questions avec soin, et ne pas poser plus de questions qu’il n’est absolument nécessaire, afin de respecter les principes de qualité des données mais aussi de réduire la charge administrative. À des fins de transparence, les ensembles de questions prédéfinis sont publiés sur le site web de l’IMI (7). Qu’est-ce qu’une donnée sensible  (8) ? Il s’agit de toute donnée qui révèle des informations en matière d’origine raciale ou ethnique, d’opinions politiques, de convictions religieuses ou philosophiques, d’appartenance syndicale, de santé, de vie sexuelle, d’infractions, de condamnations pénales et de mesures de sûreté. En outre, certains États membres peuvent considérer que les sanctions administratives et les jugements civils sont également des données sensibles.

4)

Les autorités compétentes doivent faire preuve d’une vigilance particulière lors de l’échange de données sensibles, qui n’est possible que dans certaines circonstances très particulières. Les principales exigences pour le traitement de données sensibles dans l’IMI sont les suivantes: a) Le traitement des données sensibles est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice [voir l’article 8, paragraphe 2, point e), de la directive sur la protection des données, et les dispositions correspondantes des droits nationaux]. Il peut par exemple s’agir d’échanges de données dans l’IMI relatifs aux cas où un professionnel migrant ou un prestataire de services souhaite faire valoir son droit d’exercer sa profession ou de s’établir dans un autre État membre. Dans chaque cas, les autorités compétentes doivent évaluer soigneusement si l’utilisation de données sensibles est absolument nécessaire pour établir ce droit. En ce qui concerne certaines données sensibles particulières échangées via l’IMI, les États membres ont adopté des dispositions spécifiques en application de la directive sur les qualifications professionnelles et de la directive «services». 1) L’article 56, paragraphe 2, de la directive sur les qualifications professionnelles prévoit que «Les autorités compétentes de l’État membre d’accueil et de l’État membre d’origine échangent des informations sur les sanctions disciplinaires ou pénales qui ont été prises ou sur des faits graves et précis susceptibles d’avoir des conséquences sur l’exercice des activités au titre de la présente directive, dans le respect de la législation sur la protection des données à caractère personnel […]» 2) L’article 33 de la directive «services» prévoit des règles particulières pour l’échange d’informations relatives à l’honorabilité du prestataire de services migrant: «Les États membres communiquent, à la demande d’une autorité compétente d’un autre État membre, dans le respect de leur législation nationale, les informations relatives aux actions disciplinaires ou administratives ou aux sanctions pénales et aux décisions relatives à l’insolvabilité ou à des faillites …]» b) La personne concernée donne son consentement explicite au traitement de ses données à caractère personnel. Si la coopération administrative est dans l’intérêt de la personne concernée, cet accord devrait être facile à obtenir.

5)

Des précautions extrêmes doivent être prises en ce qui concerne les informations sur les casiers judiciaires, dont il est essentiel qu’elles soient fidèles et à jour. Par conséquent, outre le respect des autres principes de la directive et du règlement sur la protection des données visés dans la présente recommandation (9), cette catégorie d’informations ne doit être demandée que si les actes communautaires correspondants l’autorisent et qu’elle est absolument indispensable pour prendre une décision dans un cas particulier directement lié à la demande. En d’autres termes, le traitement doit se rapporter directement à l’exercice d’une activité professionnelle ou à la prestation d’un service, et être nécessaire pour vérifier le respect des dispositions de la directive correspondante. Les utilisateurs de l’IMI doivent toujours garder à l’esprit que, très souvent, les informations du casier judiciaire du professionnel migrant ou du prestataire de services ne sont pas nécessaires pour prendre une décision. De fait, dans l’ensemble des questions de l’IMI, seules quelques-unes portent sur les condamnations éventuelles et sur d’autres données sensibles (10). Outre ces quelques questions, l’échange de données sensibles ne doit avoir lieu qu’exceptionnellement, lorsque les circonstances concrètes du cas sont telles que les données sensibles ont un lien direct avec l’exercice de l’activité en question et qu’elles sont absolument nécessaires pour la constatation d’un droit en justice. Les autorités compétentes ne doivent pas utiliser l’IMI pour effectuer des vérifications de routine du casier judiciaire des professionnels migrants, de telles vérifications ne correspondant pas aux fins pour lesquelles l’IMI a été établi. Toute demande sur les infractions ou les sanctions disciplinaires doit se rapporter à la profession ou au service concerné, et non à d’autres infractions commises par le professionnel migrant dans son pays d’origine, ou à d’autres mesures disciplinaires dont il aurait fait l’objet. Par exemple, pour déterminer si un médecin est officiellement enregistré et qu’il est en règle auprès de son ordre des médecins, l’autorité compétente requérante n’a pas besoin de savoir si le casier judiciaire de ce médecin comporte des infractions au code de la route, de telles infractions ne l’empêchant pas d’exercer dans son pays d’origine.

Traitement ultérieur et stockage à l’extérieur de l’IMI

L’IMI sera souvent utilisé pour fournir des informations aux fins d’une autre opération de traitement effectuée dans l’État membre (par exemple pour traiter une demande de prestation de services ou d’octroi de licence pour une activité donnée). Il est donc normal que les autorités compétentes effectuent un traitement ultérieur des données obtenues à ces fins. Lorsque des données sont obtenues via l’IMI et font l’objet d’un traitement ultérieur hors du système, la législation nationale en matière de traitement des données continue à être applicable. Il faut donc s’assurer que:

—	le traitement ultérieur en question n’est pas incompatible avec les fins auxquelles les données ont été recueillies et échangées dans l’IMI,

—	le traitement ultérieur en question est nécessaire et proportionné (et porte donc sur des données adéquates, pertinentes et non excessives) au regard des finalités initialement poursuivies lorsque les données ont été collectées dans l’IMI,

—	des mesures raisonnables sont prises pour que les données soient tenues à jour et supprimées une fois qu’elles ne sont plus requises,

—

lorsque des données sont extraites de l’IMI pour être communiquées à des tiers, que la personne concernée en est informée afin de garantir un traitement loyal des données, sauf si cette information se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement ou la communication des données (voir l’article 11, paragraphe 2, de la directive 95/46/CE sur la protection des données). Étant donné que la communication peut être exigée par la législation d’un seul des États membres concernés et que cette exigence n’est donc pas nécessairement bien connue, la Commission suggère que des efforts soient faits pour assurer l’information même lorsque la communication des données est expressément prévue.

9.   FOURNITURE D’INFORMATIONS AUX PERSONNES CONCERNÉES

Tout système de protection des données repose notamment sur l’obligation, pour les responsables du traitement des données, de fournir aux personnes concernées des informations sur les opérations de traitement qu’ils comptent appliquer aux données à caractère personnel recueillies.

L’article 10 de la directive sur la protection des données prévoit que, lors de la collecte des données, la personne concernée doit être informée sur l’identité du responsable du traitement, les finalités du traitement auquel les données sont destinées, les destinataires ou les catégories de destinataires des données, le caractère obligatoire ou facultatif des questions ainsi que les conséquences éventuelles d’un défaut de réponse, et l’existence d’un droit d’accès aux données la concernant et de rectification de ces données.

Par conséquent, lorsque des données à caractère personnel sont recueillies auprès d’un individu, l’autorité compétente doit informer la personne concernée que les données sont susceptibles d’être introduites dans l’IMI afin de correspondre avec d’autres administrations publiques dans d’autres États membres aux fins de sa demande et que, le cas échéant, il peut demander l’accès aux données et leur rectification auprès de toute autorité compétente concernée par la demande (pour plus de détails à ce sujet, voir la section 10 sur les droits d’accès et de rectification).

C’est à chaque autorité compétente de décider de la manière de transmettre cette information aux personnes concernées. Étant donné que la plupart des autorités concernées, sinon toutes, seront amenées à effectuer des opérations de traitement autres que l’échange de données via l’IMI, elles peuvent, le cas échéant, informer les personnes concernées de la même manière qu’elles transmettent des informations de nature semblable pour d’autres opérations de traitement conformément à la législation nationale (notamment par des panneaux, dans leur correspondance avec les personnes concernées ou sur des sites web).

La fourniture d’informations dans la directive sur la protection des données

L’article 10 de la directive sur la protection des données contient une liste indiquant quelles informations, au minimum, doivent être fournies aux individus dès lors qu’ils ne disposent pas de ces informations:

a)	l’identité du ou des responsables du traitement (l’autorité compétente recueillant les données et les autorités de même type des autres États membres);

b)	les finalités du traitement (correspondre avec d’autres autorités en lien avec la demande du professionnel migrant ou du prestataire de services);

c)

toute information supplémentaire, dans la mesure où elle est nécessaire pour garantir un traitement loyal, ou si la législation nationale exige sa communication, notamment: 1) les destinataires ou les catégories de destinataires; 2) l’existence d’un droit d’accès et d’un droit de rectification des données relatives à la personne concernée, la manière dont ces droits peuvent être exercés en pratique et les éventuelles exceptions à ces droits conformément à la législation nationale; 3) les voies de recours (notamment les possibilités de recours judiciaire et de demande d’indemnisation); 4) la durée de stockage et de conservation; 5) les mesures de sécurité; 6) des liens vers des documents et des sites web pertinents, y compris le site web de la Commission sur l’IMI.

La directive sur la protection des données prévoit deux cas dans lesquels des informations doivent être fournies aux personnes concernées: lorsque les données sont collectées directement auprès de ces personnes, et lorsqu’elles sont collectées auprès de tiers. Pour ce dernier cas, toutefois, l’article 11 de la directive comprend une règle de raison, en vertu de laquelle la fourniture de ces informations n’est pas requise si elle implique des efforts disproportionnés ou si la législation prévoit expressément l’enregistrement ou la communication des données (ce qui est le cas pour les échanges d’informations via l’IMI). Néanmoins, la directive prévoit que «dans ces cas, les États membres prévoient des garanties appropriées».

Il pourra donc être nécessaire pour les autorités compétentes d’adopter des règles plus précises en ce qui concerne la fourniture d’informations aux personnes concernées, sur la base de leur législation nationale en matière de protection des données, éventuellement en consultation avec les coordonnateurs IMI nationaux et les autorités nationales chargées de la protection des données. Il est conseillé d’adopter une approche «multiniveaux», les informations de base étant fournies au moment de la collecte (dans les formulaires de demande destinés aux autorités compétentes) en même temps que des indications sur la manière dont la personne concernée peut obtenir, le cas échéant, des informations plus complètes.

Pour ce deuxième niveau d’information plus détaillé, les déclarations de confidentialité ou les dispositions en matière de protection de la vie privée, publiées sur des sites web, constituent une manière efficace d’informer les personnes concernées.

Si les autorités compétentes disposent d’ores et déjà de telles déclarations de confidentialité, elles devraient les mettre à jour ou les compléter pour qu’elles se réfèrent explicitement aux échanges de données via l’IMI. Dans le cas contraire, les autorités compétentes devraient décider si l’utilisation de l’IMI et la quantité de données à caractère personnel collectées justifient l’élaboration d’une telle déclaration.

Si l’utilisation de l’IMI est sporadique, il peut suffire de fournir aux personnes concernées des informations brèves sur l’IMI lors de la collecte des données, puis, par la suite, les informations exigées en fonction de la situation. Lorsque aucune déclaration de confidentialité concernant spécifiquement l’IMI n’est fournie par l’autorité compétente aux personnes concernées, celle-ci doit leur indiquer clairement où obtenir des informations plus complètes, par exemple sur le site web du coordonnateur IMI national ou sur le site web de la Commission sur l’IMI.

Ce dernier site comprend, dans sa section «Protection des données» (11), la déclaration de confidentialité de la Commission en ce qui concerne l’IMI. Il comprend également d’autres informations destinées aux personnes concernées, qui leur indiquent notamment comment exercer leurs droits et comment obtenir de l’aide auprès des autorités nationales compétentes ou des autorités chargées de la protection des données, le cas échéant.

Il est fortement recommandé aux participants importants à l’IMI qui traitent un nombre élevé de demandes de publier sur leur site web leurs dispositions en matière de vie privée. Ces dispositions devraient contenir un lien vers la section «Protection des données» du site web de la Commission sur l’IMI. En ce qui concerne les autorités compétentes qui ne traitent que peu de données, un lien vers le site web de la Commission sur l’IMI peut suffire pour l’essentiel.

Les coordonnateurs IMI nationaux doivent assister les autorités compétentes. Cette assistance peut consister en l’élaboration de modèles de dispositions en matière de respect de la vie privée sur lesquels les autorités compétentes peuvent se fonder. Une autre solution consisterait à élaborer une déclaration de confidentialité nationale commune qui serait publiée sur l’internet par le coordonnateur national, chaque autorité compétente fournissant par la suite un lien vers cette déclaration lors de ses rapports avec des personnes concernées (par exemple dans les formulaires de demande ou dans d’autres documents qui sont fournis à ces personnes).

DÉCLARATION DE CONFIDENTIALITÉ DE LA COMMISSION EUROPÉENNE

Système d’information du marché intérieur (IMI)

1.   Objectifs du système et participants

Le Système d’information du marché intérieur (IMI) vise à faciliter la coopération administrative et l’assistance mutuelle entre les États membres afin de garantir le bon fonctionnement du marché intérieur et la libre circulation des personnes et des services. Il emploie pour ce faire un outil d’échange d’informations (parmi lesquelles des données à caractère personnel) entre les administrations nationales des États membres de l’Espace économique européen.

La présente déclaration de confidentialité concerne la partie du système placée sous la responsabilité de la Commission, c’est-à-dire la collecte, l’enregistrement, le stockage et la suppression des données personnelles des premiers utilisateurs désignés en tant que coordonnateurs IMI nationaux, ainsi que le stockage et la suppression des données personnelles d’autres utilisateurs IMI et des personnes faisant l’objet d’un échange d’informations, mais pas la collecte, la recherche ou la consultation de ces données. Elle n’englobe donc pas les opérations de traitement des données relevant de la compétence des États membres.

2.   Quelle est la législation applicable?

Toutes les opérations de traitement des données incombant à la Commission européenne sont régies par le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données.

La décision 2008/49/CE de la Commission du 12 décembre 2007 relative à la protection des données à caractère personnel dans le cadre de la mise en œuvre du Système d’information du marché intérieur (IMI) s’applique également.

3.   Quelles sont les données traitées par la Commission dans le cadre du système?

La Commission recueille les principales coordonnées des premiers utilisateurs désignés en tant que coordonnateurs IMI nationaux, à savoir le nom, les numéros de téléphone et de télécopieur professionnels et l’adresse de courrier électronique professionnelle. Ces données personnelles, ainsi que celles des coordonnateurs IMI délégués et des autorités compétentes sont stockées sur un serveur de la Commission.

Pour des raisons techniques, les données personnelles des personnes faisant l’objet d’un échange d’informations seront stockées sur un serveur de la Commission.

4.   À quelles fins les données sont-elles traitées dans le système?

Les renseignements concernant les coordonnateurs IMI nationaux sont indispensables pour mettre le système en place et le faire fonctionner. La Commission doit avoir accès à ces informations pour gérer efficacement le système en coopération avec les États membres.

En ce qui concerne le stockage temporaire des données personnelles de personnes faisant l’objet d’un échange d’informations entre autorités nationales, le traitement des données par le système IMI a pour objet d’améliorer et de faciliter la coopération entre les autorités compétentes des États membres – conformément à la législation communautaire relative à la réalisation du marché intérieur – lorsque des informations supplémentaires doivent être demandées à un État membre à propos de la prestation transfrontalière de services à titre temporaire ou de l’établissement d’un prestataire de services dans un autre État membre.

5.   Qui a accès aux données?

Les administrateurs locaux de données de la Commission ont accès aux données personnelles des administrateurs locaux de données désignés par les coordonnateurs IMI nationaux, dans les limites imparties par l’article 12, paragraphe 7, de la décision 2008/49/CE. Le personnel de la Commission n’est en aucun cas habilité à accéder aux données personnelles de la personne faisant l’objet d’un échange d’informations.

6.   Combien de temps les données sont-elles conservées?

Les données personnelles des utilisateurs IMI relevant des autorités compétentes et des coordonnateurs seront conservées aussi longtemps qu’ils auront le statut d’utilisateurs.

Toutes les données personnelles échangées entre les autorités compétentes et traitées dans le système seront automatiquement supprimées par la Commission six mois après la clôture officielle d’un échange d’informations. L’échange d’informations sera conservé dans le système à des fins statistiques, mais toutes les données personnelles seront rendues anonymes. Une autorité compétente participant à un échange d’informations peut demander à la Commission d’effacer certaines données personnelles, à tout moment suivant la clôture de l’échange d’informations. La Commission exécutera cette demande dans un délai de dix jours ouvrables, sous réserve de l’accord de l’autre autorité compétente concernée.

7.   Quelles sont les mesures de sécurité prévues contre les accès non autorisés?

Le système est protégé par un certain nombre de mesures techniques. Les différents niveaux d’accès à la base de données sont protégés de la même manière que certains systèmes bancaires en ligne, c’est-à-dire par un mot de passe associé à un code numérique. Les données personnelles stockées dans le système IMI sont uniquement accessibles à un groupe restreint de personnes (voir le point 5 ci-dessus «Qui a accès aux données?»). Le système est également protégé par https, un protocole internet sécurisé.

8.   Accès à vos données personnelles

En tant que coordonnateur IMI national, vous pouvez accéder à vos données personnelles en écrivant à l’adresse indiquée au point 10.

9.   Informations supplémentaires

Outre la présente déclaration de confidentialité, l’«avis juridique important» ci-après (http://europa.eu/geninfo/legal_notices_fr.htm) s’applique.

Si vous pensez que le système IMI contient des données personnelles vous concernant et si vous souhaitez y accéder pour les supprimer ou les rectifier, vous devez vous adresser à l’administration ou à l’organisme avec lequel vous avez été en contact, ou à un des utilisateurs IMI étant intervenu dans la demande. Si vous n’êtes pas satisfait de la réponse reçue, vous pouvez contacter un autre utilisateur IMI ou envoyer une plainte aux autorités chargées de la protection des données relevant d’un des utilisateurs IMI étant intervenu dans la demande, qui vous prêtera gratuitement assistance. Une liste des autorités chargées de la protection des données est disponible à l’adresse suivante:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_fr.htm

Veuillez noter que, dans certains cas, la législation nationale peut prévoir des exceptions à votre droit d’accéder à vos données personnelles.

10.   Adresses de contact

Le système IMI est géré par l’unité E.3 de la direction générale du marché intérieur et des services de la Commission européenne. La personne responsable du traitement est Nicolas Leapman, chef d’unité. L’adresse de contact pour tout ce qui concerne le système IMI est la suivante:

Commission européenne

Direction générale du marché intérieur et des services

Unité E.3

1049 Bruxelles

Belgique

markt-imi-dataprotection@ec.europa.eu

Si vous souhaitez déposer une plainte concernant une opération de traitement de données exécutée sous la responsabilité de la Commission, vous pouvez prendre contact avec le Contrôleur européen de la protection des données:

Contrôleur européen de la protection des données

Rue Wiertz 60 (MO 63)

1047 Bruxelles

Belgique

Tél. +32 22831900

Fax +32 22831950

edps@edps.europa.eu

10.   DROITS D’ACCÈS ET DE RECTIFICATION

La transparence à l’égard de la personne concernée est essentielle. Pour l’assurer, il faut, en premier lieu, lui fournir les informations mentionnées dans la section précédente et, en second lieu, lui donner le droit d’accéder à ses données à caractère personnel ainsi que, le cas échéant, le droit de les supprimer, de les rectifier ou de les verrouiller si elles sont inexactes ou qu’elles ont fait l’objet d’un traitement illicite.

La complexité du système IMI, avec ses nombreux participants et utilisateurs qui effectuent conjointement des opérations de traitement et de contrôle, oblige à adopter une démarche directe à l’égard de la personne concernée. Les personnes concernées ne connaissent pas les aspects techniques des opérations de traitement conjoint ni du fonctionnement de l’IMI, et elles n’ont pas besoin de les connaître.

Il faut donc mettre en place une démarche claire et simple: la règle générale devrait être que les personnes concernées peuvent exercer leurs droits d’accès, de rectification et de suppression en s’adressant à n’importe quelle autorité compétente qui est intervenue dans la demande. Les exceptions à cette règle doivent être justifiées et convenues entre la personne concernée et toutes les autres parties. Aucune autorité compétente ne doit refuser l’accès, la rectification ou la suppression en invoquant le fait qu’elle n’a pas introduit les données dans le système ou que la personne concernée doit contacter une autre autorité compétente. L’autorité compétente à laquelle est adressée la demande l’examinera et l’acceptera ou la refusera selon son bien-fondé et selon les dispositions de sa législation nationale en matière de protection des données. Lorsque c’est nécessaire et approprié, l’autorité compétente pourra contacter d’autres autorités compétentes avant d’arrêter une décision. En cas de désaccord entre autorités compétentes, celles-ci devraient faire appel à leurs autorités respectives chargées de la protection des données afin de parvenir rapidement et efficacement à un accord.

Si la décision ne satisfait pas la personne concernée, celle-ci doit pouvoir contacter une autre autorité compétente participant à l’échange de données ou l’autorité nationale chargée de la protection des données de l’une de ces autorités compétentes, à son gré. Il pourra par exemple s’agir de l’autorité compétente du pays où la personne est établie, de l’autorité nationale chargée de la protection des données de son pays d’origine ou de celle du pays où elle est établie. Lorsque c’est nécessaire et approprié, les autorités chargées de la protection des données devraient coopérer entre elles afin de traiter la réclamation (voir l’article 28 de la directive sur la protection des données).

Il faut souligner que les personnes concernées disposent à tout moment d’un droit de recours juridictionnel et qu’elles sont susceptibles, le cas échéant, d’obtenir réparation (voir les articles 22 et 23 de la directive sur la protection des données et les dispositions correspondantes dans les droits nationaux).

L’article 12, point c), de la directive sur la protection des données prévoit que le responsable du traitement notifie aux tiers auxquels les données ont été communiquées toute rectification, tout effacement ou tout verrouillage, si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné. Cette disposition s’applique aussi aux informations ultérieurement traitées hors de l’IMI.

À la suite des recommandations formulées par le groupe de protection des personnes à l’égard du traitement des données à caractère personnel et par le CEPD, la Commission travaille actuellement à mettre en place dans le système IMI (sur la base de la procédure existante pour la suppression anticipée de données à la demande des autorités compétentes, voir la section 12) une fonction permettant la correction des données en ligne et une notification automatique aux autorités compétentes concernées. En attendant cette mise en place, qui présente une certaine complexité technique, les autorités compétentes sont invitées à adresser directement les demandes de rectification de données à caractère personnel au responsable du traitement des données de l’IMI pour la Commission européenne (voir l’encadré ci-dessus «Déclaration de confidentialité de la Commission européenne»).

La directive sur la protection des données et les lois nationales qui la mettent en œuvre donnent également le droit aux personnes concernées de s’opposer au traitement des données qui les concernent et de faire stopper ce traitement si cette opposition est justifiée. Si une personne concernée vous contacte pour s’opposer au traitement de données qui le concernent, veuillez contacter votre autorité nationale chargée de la protection des données pour obtenir plus d’informations sur la manière dont son droit d’opposition s’exercera dans votre État membre.

11.   SÉCURITÉ DES DONNÉES

Un certain nombre de mesures organisationnelles et techniques semblables à celles de certains systèmes bancaires en ligne sont mises en œuvre pour garantir la sécurité de l’IMI. Les communications avec l’IMI par l’internet utilisent le protocole sécurisé https. Les mesures techniques de protection de l’IMI doivent être interopérables dans l’ensemble de l’Union européenne. La protection technique du système continuera à être développée en fonction des évolutions technologiques et des coûts de mise en œuvre [voir l’article 17 de la directive 95/46/CE et l’article 22 du règlement (CE) no 45/2001].

Pour plus d’informations sur les règles en matière de sécurité des systèmes d’information utilisés par la Commission européenne, voir la décision C(2006) 3602 de la Commission disponible dans la section «Protection des données» du site web sur l’IMI de la Commission européenne:

http://ec.europa.eu/internal_market/imi-net/data_protection_fr.html

12.   DURÉE DE CONSERVATION

Les règles s’appliquant à la durée de conservation sont fixées par les articles 4 et 5 de la directive 2008/49/CE.

En règle générale, toutes les données à caractère personnel qui font l’objet d’échanges d’informations sont automatiquement supprimées six mois après la clôture officielle d’un échange d’informations. La Commission apporte actuellement des modifications au système (rappels et listes d’urgences) afin que les demandes officielles puissent être clôturées aussi rapidement que possible.

En outre, une autorité compétente peut demander la suppression des données personnelles avant l’échéance du délai de six mois. Dès lors que l’autre autorité compétente donne son accord, la Commission donne suite à de telles demandes dans un délai de dix jours ouvrables.

Les autorités compétentes doivent savoir que les demandes de suppression de données à caractère personnel peuvent être introduites en ligne en accédant à la demande clôturée concernée et en cliquant sur le bouton «Demander la suppression des données personnelles».

Capture d’écran d’une demande de suppression anticipée de données à caractère personnel

Capture d’écran d’une demande de confirmation de suppression anticipée de données à caractère personnel

La Commission apportera également des améliorations au système, par exemple des rappels automatiques d’accepter des réponses ou de clôturer officiellement des demandes une fois qu’une réponse satisfaisante a été obtenue.

Il faut également rappeler que les règles nationales en matière de protection des données s’appliquent à la conservation des données à caractère personnel stockées hors de l’IMI par les autorités compétentes.

13.   COOPÉRATION AVEC LES AUTORITÉS CHARGÉES DE LA PROTECTION DES DONNÉES ET AVEC LE CONTRÔLEUR EUROPÉEN

Le réseau des autorités nationales chargées de la protection des données et le CEPD sont l’une des meilleures garanties du bon fonctionnement de notre système de protection des données. Les autorités compétentes peuvent s’y référer pour obtenir des conseils lorsqu’elles font face à des problèmes complexes qui ne sont pas traités dans les présentes lignes directrices. Les coordonnateurs IMI nationaux sont appelés à jouer un rôle important à cet égard. La section «Protection des données» du site web sur l’IMI comporte une liste de contacts auprès des autorités chargées de la protection des données.

Les autorités compétentes doivent garder à l’esprit qu’il est possible qu’elles soient tenues d’informer leurs autorités nationales chargées de la protection des données avant de participer à l’IMI. Dans certains États membres, une autorisation préalable pourra être requise. Les coordonnateurs IMI devraient jouer un rôle actif de coordination en contactant les autorités chargées de la protection des données lorsque c’est nécessaire.

Travaux en cours

Les améliorations suivantes qui favorisent la protection des données seront incluses courant 2009 dans une future version de l’IMI:

a)

Lorsque des échanges d’informations portent sur des données sensibles (notamment la santé, le casier judiciaire et les mesures disciplinaires), un rappel indiquera que les informations échangées sont sensibles et que la personne chargée du traitement ne doit les demander que si elles sont absolument indispensables et directement en rapport avec l’exercice de l’activité professionnelle ou la prestation d’un service donné.

b)	Une procédure en ligne sera mise en place (sur la base de celle existant déjà pour la suppression anticipée de données à la demande des autorités compétentes) pour permettre de rectifier, de supprimer ou de verrouiller des données qui ont été illégitimement traitées ou sont inexactes.

c)	Des rappels automatiques et des listes de priorités encourageant à accepter une réponse seront mis en place afin que les demandes ne restent pas ouvertes plus longtemps qu’il n’est nécessaire.

d)

Des mesures adaptées seront prises pour gérer les nouveaux flux d’informations en rapport avec la directive «services», à savoir le mécanisme d’alerte et les dérogations cas par cas. Généralement parlant, ces mesures seront semblables à celles prévues pour les échanges courants d’informations. Il s’agira par exemple de rappels sur le caractère sensible des flux de données, de rappels encourageant à clore des alertes dès que possible et des moyens d’informer les personnes concernées de l’existence de l’échange de données et de leur droit d’accès à ces données ainsi que, le cas échéant, leurs droits de les verrouiller, de les supprimer ou de les rectifier. Il est possible que des garanties supplémentaires en matière de protection des données soient nécessaires. De telles garanties seront élaborées en consultation avec le CEPD.

14.   CLAUSE DE RÉEXAMEN

L’IMI est un système d’information novateur qui est encore en cours de développement. La Commission rassemble toutes les informations fournies par les coordonnateurs et les autorités compétentes afin d’améliorer le système. De ce fait, il est probable que des changements soient mis en œuvre dans les prochains mois. Certains d’entre eux pourront avoir des conséquences en matière de protection des données.

Par conséquent, les présentes lignes directrices n’ont pas un caractère définitif. Elles devront être actualisées sur la base de l’expérience acquise dans le cadre de l’utilisation quotidienne de l’IMI. Au plus tard un an après l’adoption de la présente recommandation, la Commission élaborera un rapport afin d’évaluer la situation, y compris en ce qui concerne l’opportunité d’adopter une nouvelle mesure juridique.

---

(1)  Il y aurait lieu, pour les États membres, d’inclure des informations sur la protection des données dans leurs mesures de formation sur l’IMI.

(2)  Voir l’article 12 de la décision 2008/49/CE.

(3)  Il peut exister des autorités «liées» aux autorités compétentes à des fins de supervision (ainsi, une autorité régionale pourra être liée à une autorité fédérale). Ces «autorités liées» peuvent être informées du nombre et de la nature des requêtes, mais elles n’ont pas accès aux données à caractère personnel des prestataires de services ni des professionnels migrants.

(4)  Comme le prévoit l’article 10, paragraphe 3, de la décision 2008/49/CE, la Commission ne peut participer aux échanges d’informations que dans les cas spécifiques où le texte communautaire applicable prévoit un échange d’informations entre les États membres et la Commission. Dans ces derniers cas, la Commission est soumise aux mêmes obligations que les autorités compétentes. Ainsi, elle doit fournir une information appropriée aux personnes concernées et leur permettre d’accéder, à leur demande, aux données qui les concernent.

(5)  Encore que dans certains États membres, notamment en Italie, au Luxembourg, en Autriche et au Danemark, la réglementation sur la protection des données couvre également, dans une certaine mesure, les personnes morales.

(6)  La directive 95/46/CE s’applique aux États membres, tandis que le règlement (CE) no 45/2001 s’applique aux institutions européennes.

(7)  http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_fr.pdf

(8)  Pour une définition juridique, voir l’article 8 de la directive 95/46/CE et l’article 10 du règlement (CE) no 45/2001

(9)  À savoir des informations adéquates doivent être fournies aux personnes concernées, le traitement doit être proportionné, et les données ne doivent faire l’objet d’aucun traitement ultérieur à des fins autres que celles pour lesquelles elles ont été recueillies.

(10)  La liste de ces questions est disponible sur le site web de l’IMI:

http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_fr.pdf

(11)  La section du site web sur l’IMI consacrée à la protection des données comprend tous les documents en matière de protection des données relatifs à l’IMI, ainsi qu’un lien vers une liste de tous les documents législatifs en matière de protection des données au niveau communautaire:

http://ec.europa.eu/internal_market/imi-net/data_protection_fr.html