24.5.2017   

FR

Journal officiel de l'Union européenne

C 164/1

24.5.2017   

FR

Journal officiel de l'Union européenne

C 164/2

1.

Le 10 janvier 2017, la Commission européenne a adopté une proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (1) (ci-après la «proposition»).

2.

Le droit fondamental à la protection des données à caractère personnel est consacré à l’article 8 de la charte des droits fondamentaux de l’Union européenne (la «charte») et à l’article 16 du traité sur le fonctionnement de l’Union européenne (le «TFUE»).

3.

Le CEPD est l’autorité de surveillance indépendante chargée de veiller à ce que les institutions, organes et organismes européens (les «institutions de l’UE») respectent la législation en matière de protection des données lors du traitement de données à caractère personnel (2). L’obligation d’assurer un contrôle indépendant dans le cadre du système de protection des données de l’UE est ancrée dans le droit primaire, aussi bien à l’article 16, paragraphe 2, du TFUE qu’à l’article 8, paragraphe 3, de la charte. La Cour de justice a rappelé à de nombreuses reprises que le contrôle exercé par une autorité indépendante est un élément essentiel du droit à la protection des données et a fixé les critères de cette indépendance (3). L’autorité de contrôle doit en particulier agir en toute indépendance, ce qui implique l’indépendance du pouvoir de décision vis-à-vis de toute influence extérieure directe ou indirecte (4) et l’absence de tout soupçon de partialité (5).

4.

Le principal acte législatif applicable au traitement de données à caractère personnel par les institutions de l’UE est le règlement (CE) no 45/2001 (6) complété par la décision no 1247/2002/CE (7).

5.

Suite à la conclusion, le 27 avril 2016, des longues négociations sur le nouveau cadre de l’UE en matière de protection des données — le RGPD et la directive en matière pénale et judiciaire —, la présente proposition [ainsi que la proposition de règlement relatif à la vie privée et aux communications électroniques de la Commission (le «règlement “vie privée et communications électroniques”» (8)] marque le début d’une phase cruciale dans le processus de construction du cadre européen de protection des données. Elle vise en effet à aligner les dispositions du règlement (CE) no 45/2001 sur les règles prévues par le RGPD afin de mettre en place un cadre de protection des données renforcé et plus cohérent au sein de l’Union, et de faire en sorte que les deux actes législatifs s’appliquent en même temps (9). En outre, la proposition intègre aussi les nouvelles règles de protection des équipements terminaux des utilisateurs finaux énoncées dans la proposition de la Commission relative au nouveau règlement «vie privée et communications électroniques».

6.

Dans la stratégie 2015-2019, le CEPD s’est engagé à collaborer avec le Parlement européen, le Conseil et la Commission afin de garantir l’harmonisation des règles actuelles énoncées dans le règlement (CE) no 45/2001 avec le RGPD et l’entrée en vigueur d’un cadre révisé d’ici début 2018 au plus tard. Le CEPD se félicite du fait que la Commission l’ait consulté de manière informelle avant l’adoption de la proposition et que la proposition semble avoir tenu compte de nombreux éléments soulevés dans les contributions informelles produites à ce jour par le CEPD. À moins qu’une définition étroite des spécificités du secteur public de l’UE ne justifie une autre approche, le CEPD estime qu’en l’état actuel, la proposition est plus que satisfaisante en ce sens qu’elle assure un alignement maximal sur le RGPD, et il apprécie tout particulièrement l’équilibre trouvé par la Commission entre les différents intérêts en jeu.

7.

Si le présent avis indique un certain nombre de domaines dans lesquels la proposition peut être encore améliorée, le CEPD encourage le législateur de l’UE à trouver un accord sur la proposition le plus rapidement possible, afin de permettre aux institutions de l’UE de bénéficier d’une période de transition raisonnable avant que le nouveau règlement ne devienne pleinement applicable.

8.

Le CEPD a recommandé par le passé que les règles de fond applicables aux institutions de l’UE soient intégrées dans le projet (à l’époque) de RGPD (10). Le législateur européen a retenu une autre formule, à savoir un acte législatif distinct applicable aux institutions de l’UE, aligné sur le RGPD et applicable en même temps que celui-ci. Le CEPD partage cette approche. En effet, il serait inacceptable que la Commission européenne et les autres institutions de l’UE ne soient pas liées par des règles équivalentes à celles qui entreront bientôt en vigueur au niveau des États membres. En outre, il serait peu souhaitable que le CEPD contrôle l’application par les institutions de l’UE de règles de fond qui seraient inférieures aux règles contrôlées par ses homologues au niveau national, d’autant plus que le CEPD siégera au futur Comité européen de la protection des données (ci-après le «comité») (11).

9.

Les futures règles applicables au traitement de données à caractère personnel par les institutions de l’UE devraient donc être alignées sur les dispositions du RGPD, à moins qu’une définition étroite des spécificités du secteur public ne justifie une autre approche. À cet égard, le CEPD se réjouit du considérant 5 de la proposition, qui souligne la nécessité d’assurer un alignement maximal et précise que «[l]orsque les dispositions du présent règlement sont fondées sur le même concept que les dispositions du [RGPD], ces deux dispositions devraient être interprétées de façon homogène, notamment en raison du fait que la structure du présent règlement devrait être considérée comme équivalente à celle du [RGPD]».

10.

En revanche, l’alignement sur le RGPD ne saurait être ni total, ni automatique. Le RGPD comporte en effet de nombreuses clauses qui autorisent les États membres à maintenir ou à introduire des lois spécifiques dans certains domaines, y compris en ce qui concerne les autorités publiques (12). Dans les cas où le RGPD prévoit des règles spécifiques pour les autorités publiques (13) ou laisse une certaine marge de manœuvre aux États membres dans la mise en œuvre de ses dispositions, la proposition peut être considérée comme jouant un rôle comparable à celui d’une loi nationale «mettant en œuvre» le RGPD, comme par exemple à l’article 9 «Transmissions de données à caractère personnel à des destinataires autres que les institutions et organes de l’Union» ou à l’article 66 «Amendes administratives» de la proposition (voir section 2.8.1 ci-dessous). En outre, il est important de faire en sorte que le haut niveau de protection dont bénéficient actuellement les institutions de l’UE soit maintenu, d’où la nécessité de maintenir certaines spécificités du règlement (CE) no 45/2001, telles que l’article 25 Limitations (voir section 2.3.1 ci-dessous) et l’article 44 «Désignation d’un délégué à la protection des données» (voir section 2.4.5.1 ci-dessous).

11.

Outre l’alignement substantiel sur le RGPD, il est essentiel que les règles révisées deviennent pleinement applicables en même temps que le RGPD, à savoir le 25 mai 2018. Le réseau existant de délégués à la protection des données («DPD») constitue un mécanisme efficace de partage d’informations et de coopération. Par conséquent, le CEPD est persuadé que le respect des règles pourra être garanti à l’issue d’une période de transition relativement courte, par exemple de trois mois.

12.

Le principe de responsabilité qui est à la base du RGPD et de la présente proposition va au-delà du simple respect des règles et suppose un véritable changement de culture. Pour accompagner cette transition, le CEPD a lancé un «projet de responsabilité». Dans ce contexte, le CEPD a maintenu des contacts avec sept institutions et organes clés de l’UE tout au long de 2016 et 2017, afin de les aider à se préparer à l’application, le moment venu, du RGPD.

13.

Le CEPD a appelé la Commission à plusieurs reprises par le passé à proposer un système robuste et complet, qui soit à la fois ambitieux et qui renforce l’efficacité et la cohérence de la protection des données dans l’UE, afin de garantir un environnement harmonieux qui permette de poursuivre le développement de la protection des données dans les années à venir (14). La Commission a retenu une approche différente et a proposé un acte législatif distinct pour la protection des données dans le domaine de la répression et de l’application des lois (15). Un certain nombre de propositions d’actes législatifs introduisant des régimes de protection des données séparés et «autonomes» ont ainsi été formulées dans le cadre de cette approche (16).

14.

Le CEPD reconnaît que, bien que fragmenté, l’actuel cadre juridique en matière de protection des données à caractère personnel constitue la meilleure solution possible aujourd’hui (17). Le CEPD croit comprendre que la présente proposition continuerait de s’appliquer aux institutions de l’UE qui relèvent actuellement du champ d’application du règlement (CE) no 45/2001 (18) [pour l’essentiel, toutes les institutions et tous les organes et organismes relevant des anciens 1er et 2e«piliers» (19)], mais qu’elle n’affecterait pas les régimes «autonomes» existants ou en cours de constitution (20). La présente proposition n’aurait un impact sur ces régimes que si, et dans la mesure où, cela est explicitement prévu dans l’acte législatif pertinent. Le CEPD prend acte de cette approche mais suggère que celle-ci soit formulée de façon plus explicite dans le préambule de la proposition, voire également dans son article 2 «Champ d’application». De même, le CEPD tient à souligner que la question de la fragmentation et de la complexité croissante du cadre juridique régissant les traitements de données effectués par les différentes institutions de l’UE relevant des anciens premier et troisième «piliers» ne constitue pas un résultat entièrement satisfaisant, et que le législateur européen devra peut-être se pencher sur cette question à moyen terme.

15.

Le règlement (CE) no 45/2001 prévoit des mesures qui visent à assurer la protection de la vie privée et de la confidentialité des communications dans les cas où les institutions de l’UE sont chargées de contrôler les infrastructures servant à la communication. À cette fin, il comporte des dispositions couvrant certaines parties du champ d’application réglementaire de la directive 2002/58/CE (la «directive “vie privée et communications électroniques”») (21), et instaure le principe selon lequel les règles relatives à la protection des droits fondamentaux devraient être appliquées de manière cohérente et harmonieuse dans toute l’Union, en faisant référence aux actes pertinents, comme la directive sur la vie privée et les communications électroniques (22). La nécessité de garantir le même niveau de respect de la vie privée et de confidentialité pour toutes les communications impliquant des institutions de l’UE demeure inchangée, et par conséquent, le principe d’une application cohérente et harmonieuse devrait être maintenu. Le CEPD considère donc que la proposition devrait veiller à ce que les règles pertinentes du RGPD et du futur règlement «vie privée et communications électroniques» s’appliquent mutatis mutandis aux institutions de l’UE. Cela devrait concerner aussi bien la préservation de la confidentialité et du respect de la vie privée à l’égard des services de communication contrôlés par les institutions de l’UE, que les autres principes du futur règlement «vie privée et communications électroniques», comme la protection des appareils terminaux et d’autres règles, par exemple concernant la localisation et le spam.

16.

Enfin, si la législation européenne relative à la protection des données s’applique également à l’Espace économique européen, et si les pays membres de l’AELE sont tenus d’établir des autorités de surveillance indépendantes conformément au RGPD, les institutions de l’AELE ne sont, quant à elles, soumises à aucune surveillance particulière ni à aucune règle de protection des données, bien qu’elles échangent des données à caractère personnel avec des institutions de l’UE. Le CEPD considère que la présente proposition pourrait être l’occasion de traiter ce sujet.

90.

Dans l’ensemble, le CEPD considère que la proposition parvient à aligner les règles applicables aux institutions de l’UE sur le RGPD, tout en tenant compte des spécificités du secteur public européen. Le haut niveau de protection concernant les traitements de données effectués par les institutions de l’UE est globalement maintenu dans la proposition. Le CEPD apprécie particulièrement l’équilibre trouvé par la Commission entre les différents intérêts en jeu.

91.

Le CEPD estime que la proposition devrait être encore améliorée, notamment en ce qui concerne les modalités des limitations visées à l’article 25. Afin de garantir le respect des exigences susmentionnées relatives à la qualité du droit, l’article 25, paragraphe 1, de la proposition devrait être modifié de façon à ce que seuls les actes législatifs adoptés sur la base des traités soient en mesure de limiter les droits fondamentaux, imposant ainsi aux institutions de l’UE les mêmes normes que celles qui s’appliqueraient aux États membres au titre du RGPD. Dans la mesure où des limitations de l’article 34 «Confidentialité des communications électroniques» sont envisagées, le CEPD invite le législateur européen à veiller à ce que les éventuelles limitations du droit fondamental au respect de la confidentialité des communications imposées par les institutions de l’UE, dans le cadre de leurs activités, respectent les mêmes normes que celles prévues par le droit de l’Union, tel qu’interprété par la Cour de justice dans ce domaine.

92.

Le CEPD se réjouit du fait que la proposition comprenne un article séparé dédié à la mission du CEPD en tant que conseiller des institutions de l’UE (article 42 de la proposition). Il craint toutefois que le libellé «[à] l’issue de l’adoption de propositions» [contre «[l]orsqu’elle adopte une proposition de législation» à l’article 28, paragraphe 2, du règlement (CE) no 45/2001] ne remette en cause l’engagement de longue date de la Commission européenne de consulter le CEPD, de manière informelle, sur les projets de proposition, généralement au stade de la consultation interservices. Vu l’importance de la consultation informelle, le CEPD se féliciterait d’un considérant dans lequel la Commission réaffirmerait son engagement en faveur de cette pratique établie de longue date. Il serait également favorable à ce que la proposition maintienne le libellé de l’article 28, paragraphe 2, du règlement (CE) no 45/2001 («lorsqu’elle adopte»), lequel permet une plus grande marge de manœuvre à cet égard. Le CEPD considère que l’article 42, tel qu’il est proposé, apporte suffisamment de précisions au sujet des missions respectives du CEPD et du comité pour éviter toute duplication inutile à l’avenir.

93.

Il estime que la possibilité d’externaliser la fonction de DPD ne convient pas aux institutions de l’UE chargées d’exercer l’autorité publique. Par conséquent, l’alternative prévue à l’article 44, paragraphe 4 («ou exercer ses missions sur la base d’un contrat de service»), devrait être supprimée.

94.

Le CEPD se réjouit de l’article 66 de la proposition, qui accorderait au CEPD le pouvoir d’imposer des amendes administratives. Il considère que le fait de priver l’autorité de contrôle de l’UE de la possibilité d’imposer des amendes administratives, le cas échéant, permettrait aux institutions de l’UE de bénéficier d’une position privilégiée par rapport aux institutions publiques de nombreux États membres.

95.

Le CEPD estime que les mécanismes de certification, qui sont déjà utilisés dans certains contextes, par exemple pour certifier le respect de normes généralement admises, pourraient représenter un instrument très utile pour les institutions de l’UE. En conséquence, des références au recours à la certification (mais pas aux codes de conduite) devraient être ajoutées à l’article 26 «Responsabilité du responsable du traitement», à l’article 27 «Protection des données dès la conception et protection des données par défaut», ainsi qu’à l’article 33 «Sécurité».

96.

Si le présent avis souligne un certain nombre de domaines dans lesquels la proposition pourrait être encore améliorée, le CEPD encourage le législateur de l’UE à trouver un accord sur la proposition le plus rapidement possible, afin de permettre aux institutions de l’UE de bénéficier d’une période de transition raisonnable avant que le nouveau règlement ne devienne applicable en même temps que le RGPD, en mai 2018.

24.5.2017   

FR

Journal officiel de l'Union européenne

C 164/7

1.

Le 15 mai 2017, la Commission a reçu notification, conformément à l’article 4 du règlement (CE) no 139/2004 du Conseil (1), d’un projet de concentration par lequel les entreprises Zalando SE (Allemagne) et Bestseller United A/S (Danemark) acquièrent, au sens de l’article 3, paragraphe 1, point b), et de l’article 3, paragraphe 4, du règlement sur les concentrations, le contrôle conjoint de l’entreprise commune Fashiontrade.com B.V. (Pays-Bas), au moyen d’une augmentation de capital dans Fashiontrade.com B.V. à l’issue de laquelle Zalando SE et Bestseller United A/S détiendront chacune 50 % du capital de l’entreprise.

2.

Les activités des entreprises considérées sont les suivantes:

—   Zalando SE: vente (au détail), d’entreprises à consommateurs (B2C), de produits des secteurs de l’habillement et de la chaussure, via une plateforme de commerce électronique en ligne qui offre aux consommateurs un large choix de vêtements et de chaussures de très nombreuses marques et via un point de vente en ligne; fourniture de services de plateforme de commerce électronique entre entreprises et consommateurs (B2C), ainsi que d’autres services de solutions de marque;

—   Bestseller United A/S: entreprise de mode internationale propriétaire d’un grand nombre de marques et exerçant ses activités dans la vente, aussi bien entre entreprises (vente en gros) que d’entreprises à consommateurs (vente au détail), de produits des secteurs de l’habillement et de la chaussure, sous différentes marques;

—   Fashiontrade.com B.V.: fourniture de services de plateforme de commerce électronique pour les échanges entre entreprises (B2B) en vue de mettre en relation des marques de modes (grossistes) et des détaillants.

3.

Après examen préliminaire et sans préjudice de sa décision définitive sur ce point, la Commission estime que l’opération notifiée pourrait entrer dans le champ d’application du règlement sur les concentrations. Conformément à la communication de la Commission relative à une procédure simplifiée de traitement de certaines opérations de concentration en application du règlement (CE) no 139/2004 du Conseil (2), il convient de noter que ce cas est susceptible d’être traité selon la procédure définie par ladite communication.

4.

La Commission invite les tiers intéressés à lui présenter leurs observations éventuelles sur ce projet de concentration.

Ces observations devront lui parvenir au plus tard dans un délai de dix jours à compter de la date de la présente publication. Elles peuvent être envoyées par télécopie (+32 22964301), par courrier électronique à COMP-MERGER-REGISTRY@ec.europa.eu ou par courrier postal, sous la référence M.8433 — Zalando/Bestseller United/JV, à l’adresse suivante: