16.10.2010   

FR

Journal officiel de l'Union européenne

C 280/16

1.

Le 3 décembre 2008, la Commission a adopté une proposition de directive du Parlement européen et du Conseil relative aux déchets d’équipements électriques et électroniques (DEEE) (ci-après «la proposition») (1). Cette proposition vise à refondre la directive 2002/96/CE relative aux déchets d’équipements électriques et électroniques (DEEE) adoptée le 27 janvier 2003 (ci-après «la directive») (2) sans modification des motivations ou de la raison d’être de la collecte et du recyclage des DEEE.

2.

Le CEPD n’a pas été consulté comme l’exige l’article 28, paragraphe 2, du règlement (CE) no 45/2001 (3). De sa propre initiative, le CEPD a par conséquent adopté le présent avis sur la base de l’article 41, paragraphe 2, du même règlement. Le CEPD recommande qu’il soit fait référence à cet avis dans le préambule de la proposition.

3.

Le CEPD a conscience que cet avis intervient à un stade avancé du processus législatif mais considère néanmoins qu’il est approprié et utile d’émettre cet avis dans la mesure où la proposition soulève d’importantes questions de protection des données qui ne sont pas abordées dans le texte. Le présent avis n’a pas pour objectif de modifier l’objet principal et le contenu de la proposition, dont le «centre de gravité» (4) reste la protection de l’environnement, mais seulement d’apporter une nouvelle dimension qui est de plus en plus importante pour notre société de l’information (5).

4.

Le CEPD, qui est également conscient de la portée limitée de la procédure de refonte, engage néanmoins le législateur à tenir compte de ces recommandations conformément à l’article 8 de l’accord interinstitutionnel sur la procédure de refonte (qui prévoit la possibilité de modifier les dispositions restées inchangées) (6).

5.

La proposition a pour objet d’actualiser l’actuelle directive concernant l’élimination, la réutilisation et le recyclage des DEEE. Les problèmes techniques, juridiques et administratifs apparus dans les premières années de mise en œuvre de la directive ont donné lieu à la proposition, comme prévu à l’article 17, paragraphe 5, de la directive.

6.

Les équipements électriques et électroniques (EEE) constituent un vaste groupe de produits incluant un ensemble varié de supports permettant de stocker des données à caractère personnel — tels que les équipements informatiques et de télécommunications (par ex. ordinateurs individuels, ordinateurs portables, équipements terminaux de communications électroniques) — caractérisés, dans le contexte techno-économique actuel, par des cycles d’innovation de plus en plus rapides et, en raison de la convergence technologique, par la disponibilité d’appareils polyvalents. Dans le domaine des supports de stockage de données électroniques, l’évolution est de plus en plus rapide, notamment en ce qui concerne la capacité et la taille de stockage, et par conséquent les forces du marché entraînent un renouvellement également accéléré des EEE (contenant d’importantes quantités de données à caractère personnel souvent sensibles). Il en résulte que non seulement le flux de DEEE est considéré être le flux de déchets qui progresse le plus rapidement dans l’UE (7), mais aussi qu’en cas d’élimination inappropriée, il existe un risque accru et évident de perte et de dispersion des données à caractère personnel stockées dans ces types d’EEE.

7.

Depuis longtemps, les politiques de l’Union européenne relatives à l’environnement et au développement durable visent à réduire les déchets des ressources naturelles et à adopter des mesures de prévention de la pollution.

8.

L’élimination, la réutilisation et le recyclage des DEEE entrent dans ce cadre. Ces mesures cherchent à empêcher l’élimination des équipements électriques et électroniques avec les déchets mixtes en obligeant les producteurs à assurer l’élimination de la manière spécifiée par la directive.

9.

En particulier, parmi les diverses mesures envisagées par la directive, il est intéressant de souligner celles qui concernent la réutilisation (c’est-à-dire toute opération permettant d’utiliser des DEEE ou certains de leurs éléments aux mêmes fins que celles pour lesquelles ils ont été conçus, y compris la poursuite de l’utilisation des équipements où éléments d’équipements qui sont déposés aux points de collecte ou rapportés aux distributeurs, recycleurs ou fabricants), le recyclage (c’est-à-dire le retraitement, dans un processus de production, des déchets aux mêmes fins ou à d’autres fins) et de trouver d’autres formes de récupération des DEEE visant à réduire l’élimination des déchets [voir les articles 1 et 3, points d) et e), de la directive].

10.

Ces opérations, en particulier celles qui concernent la réutilisation et le recyclage des DEEE, notamment des équipements informatiques et de télécommunications, peuvent présenter le risque, plus grand que par le passé, que ceux qui collectent les DEEE ou qui vendent et achètent les appareils usagés ou recyclés puissent prendre connaissance des données à caractère personnel qui sont stockées dedans. Ces données peuvent souvent être sensibles ou concerner de grands nombres de personnes physiques.

11.

Pour toutes ces raisons, le CEPD considère qu’il est urgent d’informer toutes les parties concernées (utilisateurs et producteurs d’EEE) des risques relatifs aux données à caractère personnel, notamment en phase finale du cycle de vie des EEE. À ce stade, bien que les EEE aient perdu une bonne partie de leur valeur économique, ils sont susceptibles de contenir de grandes quantités de données à caractère personnel et d’avoir par conséquent une forte valeur «intrinsèque» de ce point de vue et/ou d’autres.

12.

Le CEPD n’a aucune observation à faire concernant l’objectif général de la proposition et soutient totalement l’initiative prise, qui souhaite améliorer les politiques favorables à l’environnement adoptées dans le domaine des DEEE.

13.

Toutefois, la proposition, ainsi que la directive, met uniquement l’accent sur les risques environnementaux liés à l’élimination des DEEE. Elle ne tient pas compte des risques supplémentaires, pour les personnes physiques et/ou les organisations, pouvant résulter des opérations d’élimination, de réutilisation ou de recyclage des DEEE, en particulier de ceux qui sont liés à la possibilité d’une acquisition inappropriée de données à caractère personnel stockées dans les DEEE, de leur divulgation ou de leur diffusion.

14.

Il est important de noter que la directive 95/46/CE (8) s’applique à «toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel», y compris leur «effacement ou leur destruction» [article 2 point b)]. L’élimination des EEE peut inclure des opérations de traitement de données. Pour cette raison, il y a chevauchement entre la proposition et la directive susmentionnée, et les règles de protection des données peuvent s’appliquer aux activités couvertes par la proposition.

15.

Le CEPD a l’intention d’attirer l’attention sur les risques considérables auxquels sont exposées les personnes physiques et/ou les organisations agissant comme «responsables du traitement» (9) lorsque les DEEE, en particulier les équipements informatiques et de télécommunications, contiennent des données à caractère personnel concernant les utilisateurs de ces équipements et/ou des tiers au moment de leur élimination. L’accès illégal à ces informations à caractère personnel ou la divulgation de telles informations consistant parfois en catégories spéciales de données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, et en données concernant la santé et la vie sexuelle (appelées «données sensibles») (10), peuvent en effet affecter la vie privée et la dignité des personnes auxquelles ces informations sont liées, ainsi que d’autres intérêts légitimes des personnes physiques/organisations concernées (par ex. des intérêts économiques).

16.

D’une manière générale, le CEPD considère qu’il est nécessaire de souligner l’importance de l’adoption de mesures de sécurité appropriées à chaque stade (du début à la fin) du traitement des données à caractère personnel, comme cela a déjà été souligné à plusieurs reprises dans d’autres avis (11). Cela vaut a fortiori pour la phase délicate au cours de laquelle le responsable du traitement a l’intention d’éliminer des équipements contenant des données à caractère personnel.

17.

En effet, le respect de mesures de sécurité est souvent une condition préalable à la garantie effective du droit à la protection des données à caractère personnel.

18.

Il serait par conséquent illogique d’instaurer l’obligation de mettre en place des mesures de sécurité (parfois coûteuses) dans le cours normal des opérations de traitement des données à caractère personnel (comme envisagé dans l’article 17 de la directive 95/46/CE, le cas échéant) (12) puis d’omettre tout simplement de prendre en considération l’adoption de mesures de sécurité suffisantes concernant l’élimination des DEEE.

19.

Il serait tout aussi illogique de donner de l’importance à la question de la sécurité des données au point d’introduire la notification des violations de données à caractère personnel par l’intermédiaire de l’article 3 de la directive 2009/136/CE (13) puis de ne prévoir aucune garantie ou mesure de sécurité pendant l’élimination des DEEE ainsi qu’en cas de réutilisation ou de recyclage de DEEE.

20.

Le CEPD regrette que la proposition ne tienne pas compte des effets potentiellement préjudiciables que l’élimination des DEEE peut avoir sur la protection des données à caractère personnel stockées dans les équipements «usagés».

21.

Il n’a pas non plus été tenu compte de cet aspect dans l’évaluation d’impact effectuée par la Commission (14) alors que l’expérience montre qu’en ne prenant pas de mesures de sécurité appropriées dans le cas de l’élimination des DEEE on pouvait compromettre la protection des données à caractère personnel (15). En raison de la complexité des questions concernées (par exemple la multitude de méthodes, technologies et parties prenantes légitimes dans le cycle d’élimination des DEEE), le CEPD considère qu’il aurait été normal d’effectuer une évaluation de l’impact sur la protection de la vie privée et des données portant sur les processus liés à l’élimination des DEEE.

22.

Néanmoins, le CEPD conseille vivement de recenser les «meilleures techniques disponibles» pour la protection de la vie privé et des données, et pour la sécurité, dans ce domaine.

23.

Preuve supplémentaire, lors de la consultation publique ayant précédé la refonte de la directive, des questions concernant la sécurité et la protection des données à caractère personnel ont parfois été soulevées par les parties prenantes, notamment par des entreprises d’informatique et de communications électroniques (16).

24.

Enfin, il est intéressant de souligner que certaines autorités nationales de protection des données ont publié des lignes directrices visant à réduire au minimum les risques pouvant résulter du fait que les mesures de sécurité nécessaires n’ont pas été prises, notamment au moment de l’élimination des équipements auxquels s’applique la directive (17).

25.

Le CEPD rappelle que la directive 95/46/CE est applicable au stade d’élimination des DEEE contenant des données à caractère personnel. Les responsables du traitement — notamment ceux qui utilisent des équipements informatiques et de communications — sont par conséquent tenus de se soumettre à leurs obligations de sécurité visant à empêcher la communication ou la divulgation intempestive de données à caractère personnel. À cet effet, et afin de ne pas être tenu responsable de la violation des mesures de sécurité, le responsable du traitement du secteur public ou privé, en collaboration avec les agents de protection des données (s’ils sont présents), doit adopter des politiques appropriées d’élimination des DEEE contenant des données à caractère personnel.

26.

Lorsque les responsables du traitement chargés d’éliminer les EEE n’ont pas les compétences et/ou le savoir-faire technique nécessaires pour effacer les données à caractère personnel concernées, ils peuvent confier cette tâche à des sous-traitants qualifiés (par ex. des centres d’assistance, des fabricants et distributeurs d’équipements) dans les conditions stipulées dans l’article 17, paragraphes 2, 3 et 4 de la directive 95/46/CE. Ces sous-traitants doivent, de leur côté, certifier la réalisation des opérations en question et/ou les exécuter.

27.

Compte tenu de ces considérations, le CEPD conclut que la refonte de la directive doit ajouter les principes de protection des données aux dispositions concernant la protection de l’environnement.

28.

Le CEPD recommande donc que le Conseil et le Parlement européen ajoutent à l’actuelle proposition une disposition spécifique selon laquelle la directive concerne l’élimination des DEEE sans préjudice de la directive 95/46/CE.

29.

En situation de prendre des décisions autonomes concernant les données stockées dans les EEE, les responsables des opérations d’élimination peuvent être considérés comme des «responsables du traitement» (18). Ils doivent par conséquent adopter des procédures internes leur permettant d’éviter toutes opérations de traitement inutiles portant sur des données à caractère personnel stockées dans les DEEE, à savoir d’autres opérations que celles qui sont strictement nécessaires pour vérifier l’élimination effective des données qu’ils contiennent.

30.

De plus, ils ne doivent pas permettre à des personnes non autorisées de prendre connaissance des données stockées dans les EEE ou d’en effectuer le traitement. En particulier, lorsque les supports de stockage sont recyclés ou réutilisés et que, par conséquent, ils sont remis sur le marché, il y a un risque accru de communication ou de divulgation intempestives de données à caractère personnel, ainsi qu’un besoin d’empêcher tout accès non autorisé aux données à caractère personnel.

31.

Le CEPD recommande par conséquent que le Conseil et le Parlement européen ajoutent à l’actuelle proposition une disposition particulière visant à interdire la commercialisation d’appareils usagés n’ayant pas été préalablement soumis à des mesures appropriées de sécurisation, conformément aux normes techniques les plus récentes (par exemple écrasement multi-passe), pour effacer les données à caractère personnel qu’ils sont susceptibles de contenir.

32.

Le futur cadre juridique applicable aux e-déchets doit non seulement comporter une disposition spécifique concernant l’élargissement du «principe d’éco-design» des équipements (voir l’article 4 de la proposition concernant la «Conception du produit», mais également — comme indiqué préalablement dans d’autres avis du CEPD (19) — une disposition concernant le principe de «vie privée assuré dès la conception» (20) ou, plus précisément, dans ce domaine, le principe de «sécurité assuré dès la conception» (21). Le respect de la vie privée et la protection des données doivent, autant que possible, être intégrés «par défaut» dans la conception des équipements électriques et électroniques, afin de permettre aux utilisateurs d’effacer — simplement et gratuitement — les données à caractère personnel susceptibles d’être présentes dans les équipements au moment de leur élimination (22).

33.

Cette approche est clairement appuyée par l’article 3, paragraphe 3, point c) de la directive 1999/5/CE (23) concernant la conception des équipements hertziens et des équipements terminaux de télécommunications, et par l’article 14, paragraphe 3, de la directive 2002/58/CE (24).

34.

Par conséquent, les producteurs doivent «intégrer» des sauvegardes visant à assurer le respect de la vie privée et la sécurité des données au moyen de solutions technologiques (25). Dans ce contexte, les initiatives visant à informer les personnes concernées de la nécessité d’effacer les données à caractère personnel avant de procéder à l’élimination des DEEE (y compris les producteurs offrant des logiciels gratuits à cette fin) doivent également être encouragées et soutenues (26).

35.

Compte tenu de ce qui précède, le CEPD recommande que les autorités de protection des données, en particulier par l’intermédiaire du groupe de travail «Article 29», et le CEPD lui-même collaborent étroitement aux initiatives concernant l’élimination des DEEE grâce à un processus de consultation mené suffisamment tôt avant l’élaboration de mesures pertinentes.

36.

Compte tenu du contexte dans lequel les données à caractère personnel sont traitées, le CEPD suggère que la proposition comporte des dispositions particulières:

37.

Par conséquent, le CEPD conseille vivement que la proposition soit modifiée, conformément à la directive 95/46/CE, comme suit:

—   considérant (11):

—   article 2, paragraphe 3:

38.

En outre, le CEPD estime opportun de prendre en considération les modifications suivantes:

—   article 4, paragraphe 2:

—   article 8, paragraphe 7:

—   article 14, paragraphe 6: