25.2.2010   

FR

Journal officiel de l'Union européenne

C 47/6

1.

Le 16 décembre 2008, la Commission a adopté une communication définissant un plan d'action pour le déploiement de systèmes de transport intelligents en Europe (ci-après la «communication») (1). La communication est accompagnée d'une proposition de directive du Parlement européen et du Conseil établissant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d'interfaces avec d'autres modes de transport (ci-après la «proposition») (2). La Commission a transmis la communication et la proposition qui l'accompagne au CEPD pour consultation, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001 (3).

2.

Le CEPD se félicite de faire l'objet d'une consultation et recommande qu'il soit fait référence à cette consultation dans les considérants de la proposition, comme cela a été fait dans un certain nombre d'autres textes législatifs sur lesquels le CEPD a été consulté, conformément au règlement (CE) no 45/2001.

3.

On entend par «systèmes de transport intelligents» (STI) des applications avancées utilisant les technologies de l'information et de la communication (TIC), qui sont intégrées à différents modes de transport pour favoriser les interactions entre eux. Dans le secteur du transport routier, les STI permettront d'offrir, à différents utilisateurs tels que les voyageurs, les usagers et les exploitants de l'infrastructure de transport routier, les gestionnaires de flottes et les exploitants de services d'urgence, des services innovants en rapport avec les différents modes de transport et la gestion du trafic.

4.

Prenant acte du déploiement croissant de STI dans les différents modes de transport (4) au sein de l'Union européenne, la Commission a adopté un plan d'action destiné à accélérer l'introduction et l'utilisation d'applications et de services STI dans le secteur du transport routier. Le plan vise aussi à assurer l'interaction entre ce mode et les autres modes de transport, ce qui facilitera la fourniture de services de transport multimodal. Le déploiement cohérent des STI en Europe contribuera à atteindre un certain nombre d'objectifs communautaires, y compris en ce qui concerne l'efficacité des transports, la durabilité, la sécurité et la sûreté ainsi que le renforcement du marché intérieur et de la compétitivité de l'UE. Le déploiement des STI étant destiné à répondre à des objectifs variés, la Commission définit six domaines d'action prioritaires pour la période 2009-2014. Aux fins de la mise en œuvre du plan, la Commission propose qu'un cadre juridique soit mis en place au niveau de l'UE au moyen d'une directive, dans le cadre de laquelle un certain nombre de mesures seraient définies dans les domaines prioritaires retenus.

5.

La proposition définit un cadre pour le déploiement transnational d'applications STI en vue de faciliter la fourniture de services transfrontières harmonisés, notamment pour ce qui est des informations relatives à la circulation et aux itinéraires et à la gestion de la circulation. Elle prévoit que les États membres prennent plusieurs mesures techniques pour faciliter l'échange de données entre utilisateurs, autorités publiques, parties prenantes et fournisseurs de services STI et intégrer dans les véhicules et l'infrastructure routière des STI de sécurité et de sûreté. Les spécifications techniques pour les applications et les systèmes STI dans quatre des domaines prioritaires (5) recensés dans le plan d'action seront définies selon la procédure de comitologie (6), dont les éléments fondamentaux sont précisés à l'annexe II. Toutefois, on ne voit pas clairement les finalités spécifiques pour lesquelles les STI seront utilisés dans ces domaines. En outre, le déploiement de STI pourrait englober de nombreux domaines autres que les quatre retenus initialement en vue de l'élaboration de spécifications techniques harmonisées. Alors que la proposition traite principalement du déploiement d'applications et de services STI futurs, elle devrait aussi, lorsque cela est possible, couvrir les technologies existantes ou en cours de développement dans ce domaine (par exemple, eCall, eToll, etc.).

6.

La proposition a été transmise au Parlement européen, qui a rendu son avis en première lecture (7) le 23 avril 2009. Le Conseil ayant décidé de consulter le Comité économique et social européen le 29 janvier 2009, celui-ci a adopté un avis sur la proposition le 13 mai 2009 (8).

7.

Le CEPD se félicite de faire l'objet d'une consultation sur le plan de déploiement des STI proposé par la Commission. Ce n'est pas la première fois que le CEPD examine les questions soulevées par ce plan. Le CEPD a rendu un avis sur la proposition de la Commission facilitant l'application transfrontière de la législation dans le domaine de la sécurité routière (9) et il a contribué aux travaux du groupe de travail «Article 29» relatifs à un document de travail sur eCall (10).

8.

Les STI fonctionnent sur la base de la collecte, du traitement et de l'échange d'un large éventail de données provenant de sources tant publiques que privées. Ils font donc un usage intensif de données. Le déploiement des STI s'appuiera dans une large mesure sur les technologies de géolocalisation, par exemple les systèmes de positionnement par satellite et les technologies sans contact telles que les RFID, qui faciliteront la fourniture de toute une gamme de services de positionnement publics et/ou privés (par exemple, informations en temps réel concernant la circulation, eFreight, eCall, eToll, réservation d'espaces de parking, etc.). Certaines informations traitées par les STI sont agrégées — ainsi, celles concernant la circulation, les accidents et les possibilités — et ne concernent pas une personne en particulier, alors que d'autres informations se rapportent à des personnes identifiées ou identifiables et constituent donc des données à caractère personnel au sens de l'article 2, point a), de la directive 95/46/CE.

9.

Le CEPD juge essentiel que les actions prévues en vue du déploiement des STI soient conformes au cadre juridique existant, visé dans la proposition, et notamment la directive 95/46/CE relative à la protection des données (11) et la directive 2002/58/CE concernant la protection de la vie privée dans le secteur des communications électroniques (12).

10.

La Commission a estimé que les questions non résolues concernant la protection des données et de la vie privée constituent l'un des principaux obstacles à la généralisation des STI. Ces questions seront examinées plus en détail dans le présent avis:

11.

La proposition de directive de la Commission contient deux dispositions (considérant 9 et article 6) relatives au respect de la vie privée, à la sécurité et à la réutilisation des informations. L'article 6, paragraphe 1, de la proposition de la Commission exige que le traitement des données à caractère personnel dans le cadre de l'exploitation des STI soit conforme aux règles de protection des données, et en particulier les directives 95/46/CE et 2002/58/CE. Dans la proposition de la Commission, l'article 6, paragraphe 2, prévoit des mesures de protection concrètes des données destinées à en assurer la sécurité: il dispose en effet que «les États membres veillent à ce que les données et les enregistrements des STI soient protégés contre toute utilisation abusive, notamment les accès non autorisés, les modifications ou les pertes». Enfin, l'article 6, paragraphe 3, de la proposition de la Commission prévoit que «la directive 2003/98/CE s'applique».

12.

Dans le cadre de la première lecture, le Parlement européen a proposé des amendements à l'article 6. Il propose en particulier d'ajouter à l'article 6, paragraphe 1, trois nouveaux alinéas qui prévoient d'utiliser des données anonymes, si nécessaire, de traiter les données sensibles uniquement avec le consentement explicite et éclairé de la personne concernée et de traiter les données uniquement «dans la mesure où leur traitement est nécessaire pour le bon fonctionnement des applications et/ou des services STI». En outre, un amendement à l'article 6, paragraphe 2, vise à préciser que les données et les enregistrements des STI «ne (peuvent) être utilisés à des fins autres que celles prévues dans la […] directive».

13.

Le CEPD se félicite que la protection des données ait été prise en considération dans l'élaboration de la proposition et qu'elle soit considérée comme une condition générale du bon déploiement des STI en Europe. Le CEPD constate qu'il faut assurer l'harmonisation des procédés de traitement des données à l'échelon de l'UE pour garantir le bon fonctionnement des applications et des services STI dans toute l'Europe.

14.

Toutefois, le CEPD note que le cadre juridique proposé est trop large et trop général pour répondre adéquatement aux préoccupations en matière de respect de la vie privée et de protection des données que soulève le déploiement des STI dans les États membres. En effet, la proposition n'explique pas clairement à quel moment la fourniture de services STI donnera lieu à la collecte et au traitement de données à caractère personnel, ni quel est l'objectif particulier d'un traitement de données, ni encore quelle est la base juridique d'un tel traitement. En outre, l'utilisation de systèmes de positionnement aux fins du déploiement de STI pourrait mener au développement de services qui, s'ils passent par la collecte et l'échange de données à caractère personnel, pourraient présenter des risques d'intrusion dans la vie privée. De plus, la proposition ne définit pas clairement les rôles et les responsabilités des différents acteurs du déploiement de STI, et il est donc difficile de déterminer ceux qui sont responsables du traitement des données et doivent par conséquent assurer le respect (13) des obligations en matière de protection desdites données. Les exploitants de STI devront faire face à des problèmes considérables si les dispositions législatives concernées ne répondent pas à ces questions, puisqu'ils seront en dernier ressort responsables d'appliquer les mesures énoncées dans la directive proposée.

15.

On risque donc qu'en raison de l'imprécision du cadre juridique proposé, les STI soient mis en œuvre selon des modalités différentes, et qu'au lieu de réduire les divergences entre les États membres, il soit source d'incertitudes, de fragmentation et d'incohérences considérables, vu les différents niveaux de protection dont feraient l'objet les données en Europe. Cette situation pourrait aussi mettre en péril le respect des garanties les plus importantes en matière de protection des données. Le CEPD souligne qu'il est nécessaire de pousser plus loin l'harmonisation de ces questions au niveau de l'UE. Le CEPD suggère ci-après un certain nombre de modifications à apporter au cadre juridique proposé, sous l'angle de la protection des données. Il recommande vivement que le Parlement et le Conseil incorporent les modifications proposées dans la proposition et qu'ils y ajoutent des dispositions supplémentaires pour répondre aux questions en suspens (telles que définition et responsabilités des exploitants de STI, élaboration de contrats harmonisés pour la fourniture de services STI, etc.). Il souligne en outre qu'il sera de la responsabilité des États membres de mettre en œuvre correctement la directive, afin que les exploitants puissent mettre au point des systèmes et des services offrant un niveau approprié de protection des données dans toute l'Europe.

16.

La proposition ne détermine pas clairement le moment auquel débutera le traitement de données à caractère personnel une fois que des STI auront été intégrés dans un véhicule ni la base juridique sur laquelle s'appuiera ce traitement. Les exploitants peuvent se fonder sur différentes bases juridiques aux fins du traitement des données, par exemple le consentement exprès des utilisateurs, un contrat ou une obligation légale à laquelle le responsable du traitement devra se conformer. Il convient d'harmoniser la base juridique du traitement de données par les STI afin d'assurer le bon fonctionnement des systèmes dans toute l'Europe et de faire en sorte que les utilisateurs ne soient pas affectés par des divergences entre les modalités de traitement dans les différents États membres de l'UE.

17.

Dans un certain nombre de cas, des STI seront intégrés aux véhicules dès l'origine. Tel serait notamment le cas des STI de sûreté et de sécurité, qui doivent être intégrés aux véhicules en conformité avec les dispositions de la proposition. Toutefois, celle-ci ne définit pas ce qu'il faut entendre par «systèmes STI de sûreté et de sécurité», et il conviendrait donc de mieux expliquer quels sont les applications et systèmes STI spécifiques qui doivent être intégrés dans les véhicules. En outre, il faudrait indiquer clairement si l'activation et l'utilisation du système considéré seront ou non facultatives. Il ne faut opter pour un traitement obligatoire de données qu'à des fins particulières dûment justifiées (par exemple, la localisation de marchandises dans le cadre de la gestion du fret) et en l'entourant des garanties nécessaires pour ce qui est du traitement de données à caractère personnel. Lorsque l'utilisation de STI est facultative, il conviendrait d'instaurer les garanties nécessaires pour empêcher que l'utilisateur ne soit considéré comme ayant implicitement consenti à ce qu'un tel système soit utilisé du fait de la simple présence dudit système dans le véhicule.

18.

Le CEPD est d'avis que les services STI devraient être fournis sur une base volontaire. L'utilisateur doit donc pouvoir consentir librement à ce que le système soit utilisé et être d'accord sur les finalités poursuivies dans le cas d'espèce. Lorsque le service fourni repose sur des données de positionnement, l'utilisateur doit en être informé de manière appropriée (conformément notamment à l'article 9 de la directive 2002/58/CE) et avoir la possibilité de retirer son consentement. Dans la pratique, il faut à cette fin prévoir un moyen aisé permettant à l'utilisateur (14) de désactiver le système et/ou une fonction particulière lorsqu'il ne souhaite plus l'employer, et ce sans contraintes d'ordre technique ou financier. D'autres garanties devraient être instaurées afin qu'aucune discrimination ne soit exercée à l'encontre de l'utilisateur ne souhaitant pas bénéficier d'un service.

19.

Dans les cas où certains traitements sont obligatoires alors que d'autres sont soumis au consentement de l'utilisateur, il faut veiller à assurer une transparence suffisante en ce qui concerne les différents traitements de données effectués en fournissant à l'utilisateur les informations nécessaires sur le caractère obligatoire ou facultatif et la portée de chaque traitement particulier. En outre, il est capital d'instaurer des garanties de sécurité adéquates pour qu'aucune donnée autre que celles prévues par la législation ou faisant l'objet d'un consentement exprès ne soit collectée et traitée

20.

.Compte tenu des répercussions transnationales des services STI, le CEPD recommande par ailleurs d'élaborer des contacts types paneuropéens pour assurer que les services fournis au moyen de STI offrent dans toute l'Europe des garanties identiques en matière de protection des données, et en particulier que les informations fournies à l'utilisateur soient suffisamment claires pour ce qui est des fonctions spécifiques utilisées, des conséquences de l'utilisation des technologies considérées pour la protection de ses données ainsi que des moyens lui permettant d'exercer ses droits. Lorsque de nouvelles fonctions sont ajoutées, le fournisseur de services doit veiller à fournir à l'utilisateur des informations spécifiques à leur sujet et à obtenir son accord pour leur mise en œuvre.

21.

Le CEPD note que la proposition ne définit pas clairement les services et les fonctions spécifiques pour lesquels des applications STI pourraient être utilisées, cette question restant donc ouverte. Certes, la souplesse n'en est que plus grande dans la pratique, mais il s'ensuit aussi que, comme la Commission l'a relevé au chapitre des principaux obstacles à la généralisation des STI (voir point 10), des questions relatives à la protection des données et au respect de la vie privée pourraient rester sans réponse et empêcher la mise en œuvre équilibrée des mesures proposées.

22.

Le CEPD souligne qu'il est particulièrement important, lorsque la fourniture de services STI passe par des opérations de traitement de données, que ces dernières non seulement reposent sur une base juridique appropriée, mais aussi soient effectuées pour des finalités déterminées, explicites et légitimes, et que le traitement envisagé soit non excessif et nécessaire au regard de ces finalités (article 6 de la directive 95/46/CE). C'est pourquoi il convient d'envisager la possibilité de légiférer au niveau de l'UE sur les utilisations spécifiques des STI, afin d'établir une base juridique harmonisée et appropriée pour les opérations de traitement à entreprendre et d'éviter que les services STI ne soient mis en œuvre selon des modalités différentes dans les États membres.

23.

Le cadre proposé ne définit pas encore les modalités des opérations de traitement et d'échange de données nécessaires aux STI. De nombreux paramètres techniques ne seront déterminés qu'ultérieurement, selon la procédure de comitologie, alors que les choix en la matière auront des conséquences différentes en termes de protection des données et de respect de la vie privée. Compte tenu des garanties particulières dont bénéficie le droit au respect de la vie privée et à la protection des données en vertu de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, on peut s'interroger sur la question de savoir si et dans quelle mesure il est opportun de définir les modalités de traitement des données selon la procédure de comitologie.

24.

Dans une société démocratique, les décisions portant sur les principes et les modalités essentielles touchant aux droits fondamentaux devraient être arrêtées selon une procédure législative en bonne et due forme comprenant les contrôles et les arbitrages nécessaires. Dans le cas d'espèce, cela signifie que les décisions ayant une incidence majeure sur le respect de la vie privée et la protection des données de personnes, concernant par exemple les finalités et modalités des traitements obligatoires et la définition des modalités de déploiement des STI dans de nouveaux domaines, devraient être prises par le Parlement européen et le Conseil, et non selon la procédure de comitologie.

25.

Dans cette perspective, le CEPD recommande vivement que le groupe de travail «Article 29» et le CEPD participent en tant que de besoin aux travaux du comité prévu à l'article 8 de la proposition et soient associés aux mesures prises à l'avenir concernant le déploiement des STI, par voie de consultation et à un stade suffisamment précoce avant que lesdites mesures ne soient définies.

26.

En outre, le CEPD prend note des amendements adoptés par le Parlement européen en ce qui concerne l'article 6 de la proposition. Le CEPD note en premier lieu que l'amendement visant à encourager l'utilisation, en cas de nécessité, de données anonymes est certes bienvenu quant à son principe, mais ne permettra pas de répondre à l'ensemble des préoccupations en matière de protection des données, de nombreuses données collectées et échangées par l'intermédiaire des STI pouvant être considérées comme des données à caractère personnel. Pour que les données à caractère personnel puissent être traitées de manière anonyme, il faut que personne, à quelque stade que ce soit du traitement — en tenant compte de l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne — n'ait la possibilité d'établir un lien entre les données considérées et une personne identifiée; dans le cas contraire, les données en question demeurent des données à caractère personnel au sens de l'article 2, point a), de la directive 95/46/CE (15). En outre, sur la base des amendements proposés par le Parlement européen, le CEPD recommande que l'article 6 de la proposition soit modifié comme suit:

27.

Il est particulièrement important de clarifier les rôles respectifs des différents acteurs associés aux STI afin d'identifier ceux auxquels incombe la responsabilité de veiller au bon fonctionnement des systèmes en termes de protection des données. Aussi convient-il de mieux définir qui devrait être responsable de mettre en œuvre les applications et les systèmes dont la conception sera décidée selon la procédure de comitologie et à qui, dans la chaîne d'acteurs, incombera la responsabilité de veiller à la conformité du traitement avec la législation en matière de protection des données (à savoir, le responsable du traitement). Le CEPD exposera ci-après certaines préoccupations en matière de respect de la vie privée et de protection des données auxquelles une réponse devrait être apportée, dans le cadre de la procédure de comitologie et par les responsables du traitement, lors de la conception des applications et de l'architecture des systèmes. En outre, il énoncera certaines des questions en matière de protection des données auxquelles le législateur et les responsables du traitement devront répondre en rapport avec la fourniture de services STI.

28.

Le succès du déploiement des STI dans la Communauté passe par une application correcte des principes de protection des données énoncés dans la directive 95/46/CE. Or ces principes ne sont pas sans conséquences pour la conception des applications et de l'architecture des systèmes. Le CEPD recommande d'adopter le principe de la «prise en compte du respect de la vie privée dès la conception», et ce dès les premiers stades de la conception des STI, en vue de définir l'architecture, le fonctionnement et les modalités de gestion des applications et systèmes. Ce principe est notamment mis en exergue dans la directive 1999/5/CE (18) pour ce qui concerne la conception des équipements hertziens et des équipements terminaux de télécommunications.

29.

Les applications et systèmes STI seront conçus en plusieurs étapes, par plusieurs acteurs, qui devraient tous tenir compte des impératifs de respect de la vie privée et de protection des données. Dans un premier temps, la responsabilité en particulier de définir, selon la procédure de comitologie, les mesures, les initiatives de normalisation, les procédures et les meilleures pratiques destinées à promouvoir le principe de la prise en compte du respect de la vie privée dès la conception incombera à la Commission et au comité des STI.

30.

Il y a lieu d'encourager l'application du principe de la prise en compte du respect de la vie privée dès la conception, à toutes les étapes des processus, quelle que soit la forme qu'ils revêtent:

31.

Le CEPD expose ci-après certaines questions auxquelles il faut répondre en particulier lors de la conception des applications et de l'architecture des systèmes. Elles portent sur la collecte de données, sur l'interopérabilité des systèmes et sur la sécurité des données.

32.

Conformément à l'article 6, paragraphe 1, point c), de la directive 95/46/CE, seules peuvent être collectées et traitées les données à caractère personnel qui sont nécessaires et pertinentes au regard des finalités pour lesquelles elles le sont.

33.

Le CEPD insiste sur l'importance de procéder à une classification appropriée des informations et données à traiter dans un STI avant de concevoir les applications et systèmes correspondants, afin d'éviter la collecte massive et inappropriée de données à caractère personnel. À cet égard, il devrait être tenu compte:

34.

Afin d'être en mesure de déterminer si la collecte de données à caractère personnel se justifie, il faut analyser en détail les caractéristiques spécifiques en fonction de la finalité poursuivie. Le CEPD insiste sur l'importance de maintenir un équilibre approprié entre les droits fondamentaux de la personne concernée et les intérêts des différents acteurs en présence, ce qui suppose que la quantité de données à caractère personnel traitées soit la plus limitée possible. Dans toute la mesure du possible, l'architecture des applications et systèmes devrait être conçue de manière à ce que seules les données à caractère personnel strictement nécessaires pour les finalités poursuivies soient collectées.

35.

Lorsqu'il n'est pas nécessaire de disposer de données à caractère personnel, ou lorsque de telles données ne sont nécessaires qu'à un stade précoce du traitement, il conviendrait, respectivement, de s'abstenir d'en collecter ou de les anonymiser le plus rapidement possible. Il est ainsi essentiel d'évaluer la nécessité non seulement de collecter des données, mais aussi de les conserver dans les différents systèmes considérés. Il faudrait fixer des délais spécifiques pour la conservation des données à caractère personnel; ces délais devraient être respectés par tous les acteurs de la chaîne de services, et différenciés selon le type de données et les finalités pour lesquelles elles sont collectées (20). Il s'ensuit que lorsque les finalités pour lesquelles elles ont été collectées et traitées ne le justifient plus, les données à caractère personnel devraient être anonymisées, afin qu'il soit impossible de les relier à une personne identifiée ou identifiable.

36.

L'architecture des systèmes et les procédures d'échange de données devraient être conçues pour fonctionner sur la base de la quantité de données à caractère personnel la plus limitée possible. Il faut, à cet effet, prendre en considération toutes les étapes du traitement et tous les acteurs de la chaîne de services STI. Alors que certaines données peuvent être échangées et traitées sous une forme anonyme, d'autres, même lorsqu'elles sont échangées sous une forme anonyme, peuvent être reliées à une personne identifiée et constituent donc des données à caractère personnel au sens de l'article 2, point a), de la directive 95/46/CE (21). Étant donné les finalités pour lesquelles les STI sont utilisés, il semble difficile de garantir l'anonymat de données traitées en grandes quantités par ces systèmes, parce qu'il sera nécessaire à un moment donné de connaître l'identité des personnes concernées à certaines fins particulières, telle que la facturation. Afin de garantir l'anonymat, des mesures spéciales — au niveau technique, organisationnel et juridique — devront par conséquent être prises en tout cas dans certains domaines.

37.

Le succès du déploiement des STI passe nécessairement par l'interopérabilité des applications et systèmes. Des travaux d'harmonisation seront réalisés pour définir les spécifications techniques des interfaces à intégrer dans les applications et systèmes, afin d'assurer l'interopérabilité entre ces derniers et les autres applications intégrées dans les différents modes et/ou systèmes de transport. Si l'interopérabilité des systèmes contribuera à faciliter la fourniture d'une gamme de services et à en assurer la continuité dans toute l'Europe, elle présente néanmoins certains risques en ce qui concerne la protection des données, par exemple en termes d'utilisation abusive ou à mauvais escient. Toute interconnexion de bases de données devrait être effectuée dans le respect des principes de protection des données (22) et des mesures concrètes de sécurité [voir aussi le point III.1.c)].

38.

Dans la perspective de l'interopérabilité des applications et systèmes, les principes concernant la qualité des données énoncés à l'article 6, paragraphe 1, point d), de la directive 95/46/CE revêtent une importance particulière. Les spécifications techniques à définir aux fins de la conception des interfaces devraient garantir l'exactitude des données qui seront obtenues comme suite de l'interconnexion des applications et des systèmes.

39.

Étant donné que l'interopérabilité des systèmes facilitera l'interconnexion de bases de données et la mise en correspondance de données à des fins particulières, le CEPD insiste pour que toute interconnexion soit envisagée en tenant dûment compte du principe de limitation énoncé à l'article 6, paragraphe 1, point b), de la directive 95/46/CE. Il est particulièrement important que, par sa conception même, l'architecture des STI empêche toute utilisation ultérieure des données pour des finalités autres que celles pour lesquelles elles ont été collectées. Des mesures de sécurité appropriées doivent être intégrées dans les systèmes pour empêcher l'utilisation à mauvais escient, l'accès ou la divulgation non autorisées ainsi que les effets connexes des appareils. Par exemple, il faut instaurer des mesures de protection suffisantes pour empêcher que des tiers aient accès aux appareils nomades et que ces derniers soient utilisés pour identifier et localiser les personnes à des fins autres que celles prévues par le système.

40.

Pour ce qui est de la licéité de l'interconnexion proprement dite, il faudra l'évaluer au cas par cas en tenant compte de la nature des données mises à disposition et échangées par les systèmes et des finalités auxquelles elles étaient initialement destinées.

41.

La sécurité des données à caractère personnel est un élément déterminant du déploiement des STI. Le CEPD se félicite que la sécurité soit expressément mentionnée dans le plan d'action et la proposition de directive. Les impératifs en matière de sécurité devraient être pris en considération non seulement dans le cadre du fonctionnement du STI (c'est-à-dire le système embarqué et le protocole de communication) mais aussi au-delà, à savoir dans les bases de données dans lesquelles les données sont traitées et/ou conservées. Il conviendrait de définir, pour tous les stades du traitement, des exigences techniques, administratives et organisationnelles garantissant un niveau de sécurité adéquat, en conformité avec les articles 16 et 17 de la directive 95/46/CE (ainsi que les articles 4 et 5 de la directive 2002/58/CE, le cas échéant).

42.

Les mesures de sécurité appropriées ne devraient être définies qu'au terme d'une évaluation approfondie des finalités spécifiques pour lesquelles les STI seront utilisés et des modalités de traitement. À cet égard, le CEPD recommande que les incidences en termes de respect de la vie privée et de protection des données soient évaluées en fonction du secteur et/ou de la finalité considérée (par exemple, STI de sécurité, systèmes de gestion du fret, etc.). Une telle évaluation, couplée à l'application des MTD de respect de la vie privée et de protection des données contribuera à définir les mesures de sécurité les mieux adaptés au type particulier de traitement effectué.

43.

Il est nécessaire de pousser plus loin l'harmonisation des modalités de déploiement des services STI au niveau de l'UE pour éviter l'apparition de divergences en la matière. À cet égard, le CEPD attire l'attention ci-après sur deux questions en particulier qui devront être examinées plus en détail sous l'angle du respect de la vie privée et de la protection des données:

44.

Le déploiement des STI viendra soutenir le développement d'applications de positionnement et de suivi des marchandises et favorisera le déploiement de services de positionnement aussi bien publics que commerciaux. Ces services reposeront sur des technologies telles que le positionnement par satellite et les étiquettes RFID (23). Les systèmes de navigation, de positionnement et de suivi sont destinés à être utilisés pour un éventail de finalités telles que le suivi à distance, en cours de trajet, des véhicules et des marchandises (par exemple, aux fins du transport de marchandises dangereuses ou d'animaux vivants), la facturation sur la base d'un certain nombre de paramètres tels que la distance parcourue et le moment de la journée (par exemple aux fins des péages et des systèmes électroniques de télépéage), et le contrôle des conducteurs à des fins d'application de la loi, par exemple la vérification des temps de conduite (à l'aide de tachygraphes numériques) et de sanctions (par identification électronique des véhicules).

45.

L'utilisation de technologies de positionnement risque particulièrement de porter atteinte au principe de respect de la vie privée parce qu'elles permettent de localiser le conducteur et de collecter un large éventail de données sur ses habitudes de conduite. Comme souligné par le groupe de travail «Article 29» (24), le traitement de données de positionnement constitue un sujet particulièrement sensible qui met en jeu la question essentielle de la liberté de circuler anonymement et appelle la mise en œuvre de garanties spécifiques afin de prévenir le risque que des personnes soient surveillées et des données exploitées abusivement.

46.

Le CEPD souligne que l'utilisation de systèmes de positionnement doit être licite, c'est-à-dire fondée sur une base juridique appropriée, avoir des finalités explicites et légitimes et être proportionnée au but recherché. La licéité du traitement réalisé dépendra pour beaucoup de la manière dont les systèmes de positionnement seront utilisés et du but recherché. Comme le groupe de travail «Article 29» l'a souligné dans son avis sur eCall, «il ne serait pas acceptable, du point de vue de la protection des données personnelles, que de tels dispositifs soient constamment connectés et que les véhicules soient donc constamment traçables pour permettre l'activation éventuelle du système» (25). Il est donc important de clarifier davantage les conditions spécifiques dans lesquelles un véhicule sera localisé ainsi que les conséquences qui en découlent pour l'utilisateur. En tout état de cause, l'utilisation de systèmes de positionnement devrait être justifiée par des besoins légitimes (par exemple, le suivi du transport de marchandises) et se limiter strictement à ce qui est nécessaire pour atteindre l'objectif poursuivi. Ainsi, il est important de définir précisément quelles données de positionnement sont collectées, où et pendant combien de temps elles sont conservées, quels sont les destinataires des échanges portant sur ces données et quel est l'objectif de l'échange, et de prendre toutes les mesures nécessaires pour empêcher que les données soient utilisées abusivement ou à mauvais escient.

47.

En outre, le traitement de données de positionnement concernant les utilisateurs de réseaux publics de communications ou de services de communications électroniques accessibles au public est régi strictement par l'article 9 de la directive 2002/58/CE. Or ce dernier prévoit que les données de positionnement devraient être traitées après avoir été rendues anonymes ou moyennant le consentement des utilisateurs. Cela signifie que les utilisateurs doivent, avant de donner leur consentement à l'utilisation d'un système de positionnement, recevoir les informations nécessaires, y compris en ce qui concerne le type de données de positionnement traitées, les finalités et la durée de ce traitement, et le fait que les données seront ou non transmises à un tiers en vue de la fourniture du service à valeur ajoutée. Les utilisateurs doivent garder la possibilité d'interdire temporairement, par un moyen simple et gratuit, le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication. Le traitement des données de positionnement doit être restreint aux personnes agissant sous l'autorité du fournisseur du réseau public de communications ou du service de communications électroniques accessible au public ou du tiers qui fournit le service à valeur ajoutée.

48.

Des garanties supplémentaires doivent être prévues lorsque des données de positionnement sont collectées à partir de véhicules utilisés dans le cadre d'une activité professionnelle, afin d'empêcher que le système de positionnement soit utilisé indûment pour surveiller les travailleurs. En tout état de cause, le traitement devrait être limité aux données de positionnement collectées durant le temps de travail — les travailleurs doivent ainsi avoir la possibilité d'interrompre la fonction de positionnement en dehors du temps de travail et/ou lorsqu'ils utilisent le véhicule à des fins privées.

49.

Il existe un risque que des tiers (par exemple, les compagnies d'assurances, les employeurs et les services répressifs) sollicitent l'accès aux données collectées par des systèmes de navigation ou de suivi pour des finalités légitimes et explicites (par exemple le suivi de marchandises, le paiement électronique de frais de péage, etc.) en vue de les exploiter à des fins secondaires telles que contrôler le temps de conduite et les périodes de repos, vérifier le respect de la réglementation routière ou infliger des sanctions. En principe, l'accès aux données à des fins secondaires n'est pas autorisé s'il poursuit des finalités qui sont incompatibles avec les finalités pour lesquelles les données ont été collectées. Cet accès ne peut être autorisé que par dérogation à ce principe, pour autant qu'il satisfasse aux conditions strictes énoncées à l'article 13 de la directive 95/46/CE. Par conséquent, l'accès à des données de positionnement ne peut être accordé à des tiers qu'en conformité avec le droit et selon des modalités transparentes, sur la base d'une disposition législative définissant les procédures et les modalités appropriées pour l'accès aux données à des fins spécifiques et assurant aux personnes concernées les garanties nécessaires eu égard aux finalités ultérieures pour lesquelles les données les concernant pourraient être utilisées.

50.

Il n'est pas encore clairement déterminé qui sera le responsable du traitement eu égard à chaque partie du traitement. Dans nombre de cas, le responsable du traitement sera vraisemblablement le fournisseur de services STI, que ce soit individuellement en ce qui concerne les données à caractère personnel traitées aux fins des seuls services STI qu'il fournit, ou collectivement lorsque le traitement est effectué conjointement avec d'autres responsables. Toutefois, il convient de définir clairement les rôles et les responsabilités des opérateurs de STI, à différents titres, en tant que responsables du traitement ou comme sous-traitants, pour chaque étape du traitement (par exemple, opérateurs de télécommunications fournissant des services de communication ainsi que des services STI).

51.

Les personnes agissant en tant que responsables du traitement auront la responsabilité (26) de veiller à ce que les systèmes et services respectent toutes les obligations en matière de protection des données et il leur incombera en particulier de veiller à ce que les systèmes mis en œuvre respectent le principe de prise en compte du respect de la vie privée dès la conception, et ainsi que les principes relatifs à la qualité des données et à la limitation des finalités, et garantissent aux données un niveau de sécurité approprié (comme décrit au point III.1).

52.

Le responsable du traitement devra veiller à ce que les garanties appropriées soient instaurées à tous les niveaux de la chaîne d'acteurs intervenant dans le déploiement des STI. Il s'ensuit notamment que le responsable du traitement devra mettre en place avec l'ensemble des parties prenantes à l'échange et au traitement de données un régime contractuel prévoyant des mesures appropriées de protection des données (eu égard notamment aux articles 16 et 17 de la directive 95/46/CE et aux articles 4 et 5 de la directive 2002/58/CE). Il est important de noter que si, sous l'angle de la protection des données, le responsable du traitement doit veiller à ce que la protection des données soit assurée à chaque étape du traitement, il demeure responsable du traitement et ne peut se décharger de sa responsabilité par voie contractuelle.

53.

Le CEPD accueille favorablement le plan de déploiement des STI proposé par la Commission qui a pour but d'harmoniser le traitement des données dans toute l'Europe en vue de faciliter la fourniture de services STI, plan qui présente la protection des données comme une condition essentielle du déploiement approprié des STI en Europe.

54.

Le CEPD note que la directive proposée instaure un cadre général qui soulève un certain nombre de questions en matière de respect de la vie privée et de protection des données, qui doivent être examinées plus en détail aussi bien à l'échelon de l'UE qu'au niveau national:

55.

Le CEPD recommande que l'article 6 de la proposition soit modifié, en conformité avec la directive 95/46/CE, comme suit:

56.

Le CEPD recommande qu'il soit fait référence, dans les considérants de la proposition, à la consultation ayant donné lieu au présent avis.

57.

Compte tenu de ce qui précède, le CEPD recommande que les autorités de protection des données, notamment par l'intermédiaire du groupe de travail «Article 29», et le CEPD soient étroitement associés aux initiatives relatives au déploiement des STI et qu'ils soient consultés à un stade suffisamment précoce avant que lesdites mesures ne soient définies.