31.7.2012

FR

Journal officiel de l'Union européenne

C 229/90

---

Avis du Comité économique et social européen sur la «Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)»

COM(2012) 11 final — 2012/011 (COD)

2012/C 229/17

Rapporteur général: M. PEGADO LIZ

Le Parlement européen, en date 16 février 2012, et le Conseil, en date du 1er mars 2012, ont décidé, conformément à l'article 304 du traité sur le fonctionnement de l'Union européenne, de consulter le Comité économique et social européen sur la

«Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)»

COM(2012) 11 final — 2012/011 (COD).

Le 21 février 2012, le Bureau du Comité a chargé la section spécialisée «Emploi, affaires sociales, citoyenneté», de préparer les travaux du Comité en la matière.

Compte tenu de l'urgence des travaux, le Comité économique et social européen a décidé au cours de sa 481e session plénière des 23 et 24 mai 2012 (séance du 23 mai 2012), de nommer M. PEGADO LIZ rapporteur général, et a adopté le présent avis par 165 voix pour, 34 voix contre et 12 abstentions.

1.   Conclusion et recommandations

1.1

Le CESE salue l'orientation générale prise par la Commission, marque son accord sur le choix de la base d'habilitation proposée et approuve dans le principe les objectifs de la proposition, lesquels suivent de près un avis du Comité. Pour ce qui est du statut légal de la protection des données, le CESE estime que le traitement et le transfert de données au sein du marché intérieur doivent s'inscrire dans le cadre délimité par le droit à la protection des données à caractère personnel tel que consacré par l'article 8 de la Charte des droits fondamentaux, et par l'article 16.2 du TFUE.

1.2	En ce qui concerne le choix du règlement en tant qu'instrument juridique le plus adéquat eu égard aux objectifs poursuivis, le CESE reste partagé et demande à la Commission de mieux démontrer et justifier les raisons qui rendent cet instrument préférable à la directive, voire indispensable.

1.3	Le Comité regrette cependant les trop nombreuses exceptions et limitations qui affectent les principes affirmés du droit à la protection des données personnelles.

1.4

Dans le contexte nouveau de l'économie numérique, le Comité partage l’opinion de la Commission selon laquelle «les personnes physiques ont le droit d’exercer une maîtrise effective sur leurs données» et il souhaite également que ce droit s’étende aux différents usages pour lesquels des profils individuels sont établis à partir de données recueillies par un grand nombre de moyens (légaux et parfois illégaux) et du traitement des données obtenues.

1.5	S’agissant des droits fondamentaux, l’harmonisation par un règlement dans des domaines spécifiques devrait néanmoins permettre aux Etats membres d’adopter, dans leur droit national, des dispositions qui sont absentes dudit règlement ou plus favorables que celles qui y sont prévues.

1.6	Le Comité ne peut en outre accepter tous les renvois quasi systématiques à des actes délégués qui ne relèvent pas expressément de l'article 290 TFUE.

1.7

Le Comité salue néanmoins la préoccupation de créer un cadre institutionnel efficace pour garantir le fonctionnement effectif des dispositions légales, tant au niveau des entreprises (délégués à la protection des données ou DPD) qu'à celui des administrations publiques des États membres (autorités de contrôle indépendantes). Toutefois, il aurait apprécié que la Commission choisisse une approche plus conforme aux réels besoins et aspirations des citoyens et plus systématisée selon la nature de certains domaines de l’activité économique et sociale.

1.8

Le CESE estime qu’il y a toute une série d’améliorations et de précisions possibles dans le texte proposé et donne des exemples précis relatifs à plusieurs articles, exemples qui vont dans le sens d’une meilleure définition des droits, du renforcement de la protection des citoyens en général et des travailleurs en particulier, de la nature du consentement, de la licéité du traitement, et en particulier, des fonctions des délégués à la protection des données et du traitement des données en matière d’emploi.

1.9	Le CESE estime aussi que des éléments non considérés devraient être inclus, notamment l’élargissement du champ d’application, le traitement des données sensibles ou les actions de groupe.

1.10

Le CESE considère ainsi que les moteurs de recherche tirant la majorité de leurs revenus de la publicité ciblée grâce à la collecte de données personnelles sur leurs visiteurs, voire de leur profilage, doivent entrer expressis verbis dans le champ d'application du Règlement. Il devrait en aller de même pour les sites de serveurs offrant des espaces de stockage et, pour certains, des logiciels (informatique en nuage ou cloud computing), qui collecteraient des données sur leurs usagers à des fins commerciales.

1.11

Il devrait en aller de même encore pour les informations personnelles publiées sur les réseaux sociaux, qui devraient permettre, en vertu du droit à l'oubli, la modification ou l'effacement d'informations par la personne concernée ou la suppression, à sa demande, de sa page personnelle et des liens qui renvoient à d'autres sites très fréquentés où ces informations sont reproduites ou commentées. L'article 9 devrait être modifié à cet effet.

1.12

Enfin, le CESE demande à la Commission de reconsidérer certains aspects de la proposition qu’il juge inacceptables pour des matières sensibles comme la protection des enfants, le droit d’opposition, le profilage, certaines limitations aux droits, le seuil des 250 travailleurs pour nommer un DPD ou la façon dont est réglementé le «guichet unique».

2.   Introduction

2.1	Le CESE vient d'être saisi pour avis de la «Proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)» (1).

2.2

Cependant, il faut noter que cette proposition fait partie d'un «paquet» qui comprend également une communication introductive (2), une Proposition de directive (3) et un «Rapport de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions fondé sur l’article 29, paragraphe 2, de la décision-cadre du Conseil du 27 novembre 2008» (4). Le CESE n'est pas saisi sur l'ensemble des législations proposées, mais seulement sur le projet de Règlement, alors qu'il aurait dû l'être aussi sur le projet de Directive.

2.3	La proposition dont le CESE est saisi se situe, selon la Commission, au carrefour de deux des plus importantes orientations juridico-politiques et politico-économiques de l'UE.

2.3.1

Dune part, il y a l’article 8 de la Charte des Droits Fondamentaux de l’Union européenne ainsi que l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (TFUE), qui consacrent la protection des données en tant que droit fondamental, devant être protégé comme tel. Les communications de la Commission européenne relatives au programme de Stockholm et au plan d'action le mettant en œuvre trouvent là leur fondement (5).

2.3.2

D'autre part, il y a la stratégie numérique pour l'Europe et, plus généralement, la stratégie Europe 2020 qui prônent la consolidation de la dimension «marché unique» de la protection des données et la réduction des charges administratives pesant sur les entreprises.

2.4

L'intention de la Commission est de mettre à jour et de moderniser les principes inscrits dans la directive 95/46/CE consolidée relative à la protection des données afin de garantir à l’avenir les droits de la personne en matière de respect de la vie privée dans la société numérique et ses réseaux. Le but recherché est de renforcer les droits des citoyens, de consolider le marché intérieur de l'UE, d'assurer un niveau élevé de protection des données dans tous les domaines (y compris celui de la coopération judiciaire en matière pénale), d'assurer la bonne application des dispositions prises à cet effet, de faciliter le traitement transfrontière des données et d'établir des normes universelles en matière de protection des données.

3.   Observations générales

3.1

Dans le contexte nouveau de l'économie numérique, le Comité partage l’opinion de la Commission selon laquelle «les personnes physiques ont le droit d’exercer une maîtrise effective sur leurs données», et il souhaite également que ce droit s’étende aux différents usages pour lesquels des profils individuels sont établis à partir de données recueillies par un grand nombre de moyens (légaux et parfois illégaux) et du traitement des données obtenues. Le Comité considère aussi que le traitement et le transfert de données dans le cadre du marché unique doivent être limités par le droit à la protection issu de l’article 8 de la Charte des Droits Fondamentaux. Il s’agit d’un droit fondamental, inscrit dans le droit institutionnel de l’Union et dans la plupart des droits nationaux des Etats membres.

3.2

Tout citoyen ou résident de l’Union dispose de ce fait même des droits fondamentaux inscrits dans la Charte et les traités; ces droits sont aussi reconnus dans le droit des États membres, parfois même au niveau constitutionnel. D'autres droits, comme le droit à l’image ou le droit à la protection de la vie privée complètent et renforcent le droit à la protection des données le concernant. Il doit être possible de faire respecter ces droits en demandant à un site internet de modifier ou de retirer un profil personnel ou un fichier du serveur et, en cas de non-exécution, d’obtenir d'un juge une injonction à cette fin.

3.3

La tenue de fichiers contenant des données individuelles est indispensable à l’administration publique (6), à la gestion du personnel des entreprises, à des services commerciaux, aux associations et syndicats, aux partis politiques, ou aux sites sociaux et aux moteurs de recherche de l’Internet, mais afin de protéger la vie privée des personnes légalement inscrites dans des fichiers, il convient que ces fichiers, aux finalités différentes, ne recueillent que les données essentielles à leurs finalités respectives et qu'ils ne soient pas interconnectés, grâce aux TIC, sans nécessité ni protection légale. L'existence d'une autorité ayant accès sans limitation à toutes les données constituerait un risque pour les libertés publiques et la vie privée.

3.4	Ces personnes concernées doivent, pour les fichiers tenus par des personnes de droit privé, disposer d'un droit d’accès, de correction et même de retrait du fichier, s’agissant des fichiers de prospection commerciale ou ceux des sites sociaux.

3.5

Pour ce qui est des fichiers tenus par des administrations publiques ou privées et qui répondent à des obligations légales, les personnes doivent disposer d’un droit d’accès, de correction en cas d’erreur, voire de retrait si l’inscription de la personne est devenue inutile, par exemple dans le cas d'une amnistie dans un fichier judiciaire ou dans le cas de fin d'un contrat de travail, au-delà des délais légaux de conservation.

3.6

Le CESE salue l'orientation générale prise par la Commission en reconnaissant que les objectifs de la directive 95/46/CE consolidée demeurent d'actualité, bien que, 17 ans s'étant écoulés, et avec tous les changements technologiques et sociaux qui se sont produits dans le domaine de l'environnement numérique, une révision profonde soit devenue indispensable. Par exemple, la directive 95/46/CE ne traitait pas certains aspects de l’échange transfrontière d’informations et de données entre administrations chargées de la répression des délits pénaux et de l’exécution des jugements dans le cadre de la coopération policière et judiciaire. Cette question est traitée dans le projet de directive inclus dans le paquet «protection des données» sur lequel le Comité n'est pas consulté.

3.7

Le CESE approuve dans le principe les objectifs de la proposition, qui s'inscrivent dans la protection des droits fondamentaux, et suivent de près l'avis du Comité (7), notamment en ce qui concerne: — l'établissement d'un corps unique de règles relatives à la protection des données, valable dans toute l'Union à un niveau de protection le plus élevé possible; — la réaffirmation explicite de la liberté de circulation des données à caractère personnel au sein de l'UE; — la suppression de plusieurs obligations administratives inutiles ce qui, selon la Commission, représenterait une économie annuelle de quelque 2,3 milliards d'euros pour les entreprises; — l'obligation faite aux entreprises et organisations de notifier à l'autorité de contrôle nationale les violations graves de données à caractère personnel dans les meilleurs délais (si possible, dans un délai de 24 heures); — la possibilité pour les citoyens de s'adresser à l'autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l'UE; — le fait de faciliter l'accès des personnes à leurs propres données, de même que le transfert de données à caractère personnel d'un prestataire de services à un autre (droit à la portabilité des données); — un «droit à l'oubli numérique», pour assurer aux citoyens la meilleure gestion des risques liés à la protection des données en ligne, avec la faculté d'obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation; — le renforcement, par rapport à la situation actuelle, du rôle des autorités nationales indépendantes chargées de la protection des données afin qu'elles puissent mieux faire appliquer et respecter les règles de l'UE sur le territoire de l'État dont elles relèvent, notamment en ayant le pouvoir d'infliger des amendes aux entreprises qui enfreignent les règles, amendes qui pourront atteindre jusqu'à 1 million d'euros ou 2 % du chiffre d'affaires annuel global de l'entreprise; — la neutralité technologique et l'application à tous les traitements de données, qu'ils soient automatisés ou manuels; — l'obligation d'effectuer des analyses d'impact relatives à la protection des données.

3.8

Le CESE salue l’accent mis sur la protection des droits fondamentaux et marque son plein accord sur le choix de la base juridique proposée, utilisée pour la première fois dans la législation. Il souligne aussi la grande importance que revêt cette proposition pour la réalisation du marché unique et ses effets positifs dans le cadre de la stratégie Europe 2020.En ce qui concerne le choix du règlement, une partie des membres du CESE, indépendamment de leur Groupe, est d'accord avec la Commission et considère qu'il s'agit de l'instrument juridique le plus adéquat pour garantir une application uniforme et un même niveau élevé de protection des données dans tous les États membres; une autre partie est d'avis que la directive serait l'instrument qui pourrait mieux sauvegarder le principe de subsidiarité et mieux protéger les données, surtout dans les États membres qui assurent déjà une protection plus élevée que celle définie dans la proposition de la Commission. Le CESE est également conscient que les États membres sont eux aussi partagés sur ce sujet. Le CESE appelle ainsi la Commission à mieux fonder sa proposition en rendant plus explicites sa compatibilité avec le principe de subsidiarité et les raisons pour lesquelles le choix d'un règlement est indispensable aux objectifs poursuivis.

3.8.1

Puisqu’il s’agit d’un règlement immédiatement et entièrement applicable dans tous les États membres, sans besoin de transposition, le CESE attire l’attention de la Commission sur la nécessité de veiller à la cohérence des traductions dans toutes les langues – ce qui n’est pas le cas avec la proposition.

3.9

Le CESE considère que, d’une part, la proposition aurait pu aller plus loin dans la dimension protectrice de certains droits qui se voient pratiquement dépourvus de contenu à cause d'innombrables exceptions et limitations et que d'autre part, elle aurait dû mieux équilibrer les droits des uns et des autres. Il risque ainsi d’y avoir un déséquilibre entre les objectifs du droit fondamental à la protection des données et ceux du marché unique au détriment du premier. Le CESE partage pour l’essentiel l’avis exprimé par le Contrôleur européen de la Protection des Données (8).

3.10

Le CESE aurait apprécié que la Commission adopte une approche plus conforme aux besoins et aux aspirations des citoyens et plus systématisée selon la nature de certains domaines de l’activité économique et sociale comme, par exemple, le commerce en ligne, le marketing direct, les relations de travail, les autorités publiques, la surveillance et la sécurité, l'ADN, etc., en distinguant le régime juridique selon ces aspects très différents dans le traitement des données.

3.11

En ce qui concerne diverses dispositions contenues dans la proposition (toutes reprises à l’article 86), des aspects très importants de l'instrument juridique et du fonctionnement du système dépendent de futurs actes délégués (26 délégations de pouvoir pour une durée indéterminée). Le CESE considère que cela dépasse largement les limites établies à l'article 290 du traité et définies dans la communication de la Commission européenne relative à la mise en œuvre de l'article 290 du traité sur le fonctionnement de l'Union européenne (9), ce qui a des conséquences sur la sécurité et la certitude juridiques du dispositif. Le CESE estime qu'un certain nombre de ces délégations pourraient être réglées directement par le législateur européen. D'autres pourraient relever de la compétence des autorités de contrôle nationales, ou de leur structure de coordination au niveau européen (10). La mise en œuvre des principes de subsidiarité s'en trouverait confortée et la sécurité juridique renforcée.

3.12

Le CESE comprend les raisons qu'a la Commission de ne se pencher, dans cette proposition, que sur les droits des personnes physiques, compte tenu de sa nature juridique spécifique, mais demande que les données relatives aux personnes morales, en particulier celles dotées de la personnalité juridique, fassent aussi l’objet de l’attention de la Commission.

4.   Observations particulières

Les points positifs:

4.1   La proposition reste conforme à l’objet et aux objectifs de la Directive 95/46/CE, en particulier pour ce qui concerne certaines définitions, l’essentiel des principes relatifs à la qualité des données et à la légitimation des traitements, les traitements portant sur des catégories particulières et certains droits d’information et d’accès aux données.

4.2   La proposition est positivement innovante dans des aspects fondamentaux relatifs à de nouvelles définitions, à une meilleure précision des conditions du consentement, en particulier s’agissant des enfants, et à la catégorisation de nouveaux droits, tels que les droits de rectification et d’effacement, en particulier le droit à l’«oubli numérique», le contenu du droit d’opposition et le profilage ainsi que les obligations très détaillées des responsables du traitement et des sous-traitants, la sécurité des données et le cadre général des sanctions, principalement de nature administrative.

4.3   Le Comité salue également la préoccupation de la proposition de créer un cadre institutionnel efficace pour garantir le fonctionnement effectif des dispositions légales, tant au niveau des entreprises (délégués à la protection des données) qu'à celui des administrations publiques des États membres (autorités de contrôle indépendantes), aussi bien que le renforcement de la coopération entre ces autorités et avec la Commission (création du Comité européen de la protection des données), étant entendu toutefois qu'il y a lieu de maintenir les compétences des délégués, nationaux comme régionaux pour partie, à la protection des données.

4.4   Enfin, il considère comme positifs l’encouragement à l’élaboration de codes de conduite et le rôle de la certification et des marques ou labels de protection des données.

Ce qui peut être amélioré

4.5.   Article 3 – Champ d’application territorial

4.5.1   Les conditions d’application prévues au paragraphe 2 sont trop restrictives; rappelons les cas d’entreprises pharmaceutiques ayant leur siège hors Europe et qui, pour des essais cliniques, veulent accéder à des données cliniques de personnes concernées résidant dans l’UE.

4.6.   Article 4 – Définitions

4.6.1   La définition du «consentement» qui est la base essentielle de toute la construction de la protection des données devrait être mieux précisée dans ses éléments et surtout dans la caractérisation de «l’acte positif univoque» (notamment dans la version française).

4.6.2   La notion de «transfert de données», qui n’est définie nulle part, devrait faire l’objet d’une définition à l’article 4.

4.6.3   La notion de «loyauté» mentionnée à l’article 5, alinéa a) doit faire l’objet d’une définition.

4.6.4   La notion de données «manifestement rendues publiques» (article 9, paragraphe 2, alinéa e)) doit aussi faire l’objet d’une définition précise.

4.6.5   La notion de «profilage», utilisée tout au long de la proposition, doit aussi faire l’objet d’une définition.

4.7.   Article 6 – Licéité du traitement

4.7.1   Dans l’alinéa f), la notion «d’intérêts légitimes poursuivis par un responsable du traitement», qui ne soient pas déjà couverts par tous les alinéas précédents, semble vague et subjective et devra être mieux précisée dans le texte même et non laissée à un acte délégué (paragraphe 5), d'autant que le paragraphe 4 ne mentionne pas l’alinéa f) (c'est important par exemple pour les services de postes et le marketing direct (11)).

4.8   Article 7 – Consentement

Au paragraphe 3, il faudrait indiquer que le retrait du consentement empêche tout traitement futur, et qu’il ne compromet la licéité du traitement qu'à partir du moment du retrait du consentement.

4.9   Article 14 - Informations

4.9.1   Dans le paragraphe 4, alinéa b), il conviendra de fixer un délai maximum.

4.10   Article 31 – Notifications des violations aux autorités de contrôle (ADC)

4.10.1   La notification des violations quelles qu'elles soient risque de compromettre le fonctionnement du système et, en définitive, de constituer un obstacle à la responsabilisation effective des coupables.

4.11   Article 35 – Délégués à la protection des données

4.11.1   En ce qui concerne le délégué à la protection des données (DPD), il conviendrait de mieux préciser les conditions liées à cette fonction, notamment la protection contre les licenciements qui doit être clairement définie et s'étendre au-delà de la période pendant laquelle la personne concernée aura assumé cette fonction; les conditions de base assorties d'exigences claires pour exercer cette activité; le dégagement du DPD de toute responsabilité lorsque ce dernier a signalé des irrégularités à l'employeur ou aux autorités nationales de protection des données; le droit de participation directe des représentants du personnel à la désignation du DPD, et droit d’information périodique de ces représentants (12) quant aux problèmes rencontrés et à leur solution. La question des ressources affectées à la fonction devrait aussi être précisée.

4.12   Article 39 – Certification

4.12.1   La certification devra être une des tâches de la Commission.

4.13   Article 82 et 33 – Traitement des données en matière d'emploi

4.13.1   Il manque une référence explicite à l'évaluation de la performance (qui n'est pas évoquée non plus à l'article 20 portant sur le «profilage») à l'article 82. Il n'est en outre pas précisé si cette habilitation s'applique aussi à la formulation des dispositions concernant le DPD. L'interdiction du «profilage» en matière d'emploi devrait également être précisée en ce qui concerne l'analyse d’impact relative à la protection des données (article 33).

4.14   Article 81, 82, 83 et 84

4.14.1   Au lieu de «… dans les limites du présent règlement …» on devrait dire «… sur base du présent règlement …».

Ce qui fait défaut et devrait être inclus:

4.15   Champ d'application

4.15.1   S’agissant des droits fondamentaux, l’harmonisation dans des domaines spécifiques devrait permettre aux Etats membres d’adopter, dans leur droit national, des dispositions absentes ou plus favorables que celles prévues dans le règlement, tel qu’il est déjà consacré pour les domaines prévus aux articles 80 à 85.

4.15.2   Les adresses IP des personnes devraient être incluses expressément dans le corps du règlement dans les données personnelles à protéger et pas seulement dans les considérants.

4.15.3   Les moteurs de recherche, tirant l'essentiel de leurs revenus de la publicité, qui collectent des données personnelles sur leurs usagers et en font un usage commercial, doivent être inclus dans le champ d'application du règlement, et non seulement parmi les considérants.

4.15.4   Il faudrait préciser que les réseaux sociaux entrent dans le champ d'application, et pas seulement lorsqu'ils se livrent au profilage à des fins commerciales.

4.15.5   Certaines méthodes de contrôle et de filtrage de prétendant lutter contre la contrefaçon et, comme elles ont pour effet de profiler certains usagers du net, de les ficher et de contrôler tous leurs mouvements, en l'absence d'une autorisation judiciaire nominative, elles doivent aussi tomber dans le champ d'application du règlement.

4.15.6   Il serait également souhaitable que les institutions et organes de l'Union soient soumis aux obligations du règlement.

4.16   Article 9 - Catégories particulières de données

4.16.1   La meilleure façon de procéder consisterait à définir des régimes spéciaux en fonction des circonstances, des situations et des finalités des traitements des données. Il faut ajouter une interdiction de «profilage» dans ces domaines.

4.16.2   Il y a lieu d'introduire le principe de la non-discrimination dans le traitement des données sensibles à des fins statistiques.

4.17   Des possibilités (non exploitées) devraient être comprises dans les domaines suivants:

—	Participation, à tous échelons dans les États et en Europe, des représentants du personnel à l'élaboration de «règles d'entreprise contraignantes», qui devraient désormais être admises comme condition pour le transfert international des données (article 43);

—	information et consultation du Comité d'entreprise européen lors des transferts internationaux de données des employés, en particulier vers des pays tiers;

—	information et participation des partenaires sociaux européens et des ONG européennes de consommateurs et de défense des droits humains à la désignation des membres du Comité européen de la protection des données qui doit remplacer le groupe de travail «Article 29»;

—	information et participation de ces partenaires et des ONG précitées au niveau national à la désignation des membres des autorités nationales de protection des données, ce qui n'est pas prévu non plus.

4.18   Articles 74 à 77 – Actions de groupe en matière d'illégalité de fichiers et en dommages et intérêts

4.18.1   La plupart des violations des droits à la protection des données revêtent un caractère collectif: quand cela se produit, ce n’est pas une seule personne qui est visée par une même infraction, mais un groupe ou l’ensemble des personnes fichées. Les voies de recours juridictionnels individuels traditionnels ne sont pas adéquates pour réagir contre ce genre de violations. Or, si l’article 76 autorise tout organisme, toute organisation ou association qui œuvre à la protection des droits des personnes concernées à entamer, au nom d’une ou plusieurs personnes concernées, les procédures prévues aux articles 74 et 75, il n'en va pas de même lorsqu'il s'agit de demander une réparation ou une indemnisation en dommages et intérêts car, dans ce cas, l’article 77 ne prévoit cette possibilité que pour les personnes individuelles et n'admet pas une procédure de représentation collective ou d’action de groupe.

4.18.2   À cette fin, le Comité rappelle ce qu'il soutient depuis des années dans plusieurs avis, la nécessité et l'urgence de doter l'UE d'un instrument judiciaire harmonisé d'action de groupe au niveau européen, nécessaire dans beaucoup de domaines du droit de l'UE et comme cela existe dans plusieurs États membres.

Ce qui est inacceptable:

4.19   Article 8 - Enfants

4.19.1   «L'enfant» ayant été défini comme toute personne âgée de moins de 18 ans (article 4 (18)), conformément à la convention de New York, il n’est pas acceptable qu’au paragraphe 1 de l’article 8, on donne la possibilité à des enfants de 13 ans de «consentir» aux traitements de leurs données personnelles.

4.19.2   Bien que le CESE comprenne la nécessité de définir des règles spécifiques pour les PME, il n'est pas acceptable que la Commission puisse, par acte délégué, exempter purement et simplement les PME de l'obligation de respecter les droits des enfants.

4.20   Article 9 – Catégories particulières

4.20.1   De même, à l’article 9, paragraphe 2, alinéa a) il n’y a aucune raison que des enfants puissent donner leur «consentement» pour le traitement de données qui concernent leurs origine nationale, opinions politiques, religion, santé, vie sexuelle ou condamnations pénales.

4.20.2   Les données fournies volontairement par les personnes elles-mêmes, comme par exemple sur Facebook, ne devraient pas être exclues de la protection, comme on peut l'inférer de l'alinéa e) de l'article 9, et devraient bénéficier au moins du droit à l'oubli.

4.21   Article 13- Droits à l'égard des destinataires

4.21.1   L'exception de la partie finale – «à moins qu’une telle communication se révèle impossible ou suppose un effort disproportionné» - n’est ni justifiable ni acceptable.

4.22   Article 14 - Informations

4.22.1   L’exception identique au paragraphe 5, alinéa b) est également inacceptable.

4.23   Article 19 paragraphe 1 – Droit d’opposition

4.23.1   La formule vague utilisée comme exception – «raisons impérieuses et légitimes» n’est pas acceptable et vide de son contenu le droit d'opposition.

4.24   Article 20 - Profilage

4.24.1   La prohibition du profilage ne devra pas être restreinte aux traitements «automatisés» (13).

4.24.2   Dans le paragraphe 2, alinéa a) l’expression «…qui ont été invoquées …» doit être remplacée par «… qui ont été mises en place …».

4.25   Article 21 - Limitations

4.25.1   La rédaction de l’alinéa c) du paragraphe 1 est totalement inacceptable parce qu’elle contient des expressions vagues et indéfinies telles que: intérêt économique et financier, domaines budgétaires, monétaires ou fiscal et même, stabilité et intégrité des marchés, cette dernière formule ayant été ajoutée à la directive 95/46.

4.26   Articles 25, 28 et 35 – Limite des 250 travailleurs

4.26.1   Le seuil de 250 travailleurs, qui détermine l'applicabilité de certaines dispositions de protection, comme par exemple un délégué à la protection des données, aurait pour conséquence que seul un peu moins de 40 % des salariés bénéficieraient d'une telle disposition. La même limite en ce qui concerne l'obligation de documentation aurait pour conséquence que la grande majorité des salariés n'aurait dès lors aucune possibilité de surveiller l'utilisation de leurs données personnelles et il n'existerait donc plus aucun contrôle. Le Comité suggère d'envisager la possibilité d'un seuil plus bas, par exemple le nombre de travailleurs retenu en général dans les États membres pour la constitution d'une instance de représentation des intérêts du personnel au sein des entreprises. Une autre approche basée sur des critères objectifs pourrait être envisagée qui s'appuierait, par exemple, sur le nombre de fichiers de protection de données traités dans un laps de temps à déterminer, indépendamment de la dimension de l’entreprise ou du service concerné.

4.27   Article 51 - Le «guichet unique»

4.27.1   Si, pour faciliter la vie des entreprises et rendre plus efficaces les mécanismes de protection des données, le principe du «guichet unique» se conçoit, il est néanmoins susceptible d’entraîner une détérioration sensible de la protection des données relatives aux citoyens en général et des données personnelles des travailleurs en particulier, rendant caduque l'obligation actuelle de faire en sorte que les transferts de données personnelles fassent l'objet d'un accord d'entreprise et soient approuvés par une commission nationale de protection des données (14).

4.27.2   Par ailleurs, ce système paraît contraire au souci d’une gestion de proximité et risque de priver le citoyen de la possibilité de voir sa demande instruite par l’autorité de contrôle qui lui sera la plus proche et la plus accessible.

4.27.3   Il y a donc des raisons qui militent en faveur du maintien de la compétence de l’autorité de l’État membre de résidence du plaignant.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  Elles insistent sur la nécessité pour l’Union de «se doter d’un régime complet de protection des données personnelles couvrant l’ensemble des compétences de l’Union» et de «veiller à ce que le droit fondamental à la protection des données soit appliqué systématiquement», de façon à ce que les personnes physiques aient le droit d’exercer un contrôle effectif sur leurs données.

(6)  Voir avis du CESE sur la «Réutilisation des informations du secteur public»JO C 191 du 29.6.2012, p. 129.

(7)  Voir avis du CESE, JO C 248 du 25.08.2011, page 123.

(8)  Opinion of the European Data Protection Supervisor on «Data Protection Package», 7 mars 2012.

(9)  COM(2009) 673 final du 9.12.2009.

(10)  Cf. l'objection de non-conformité au principe de subsidiarité formulée par le Sénat français.

(11)  On devrait avoir davantage de précisions sur la question de la prospection par lettres adressées nominativement car l'application en l'état du règlement conduirait à son interdiction, alors qu'elle constitue une méthode peu intrusive et ciblée de prospection de nouveaux clients.

(12)  Par exemple, communication d’un rapport périodique de l’activité du DPD aux représentants du personnel, ou aux élus des salariés du Conseil d’administration ou du Conseil de surveillance, national et/ou européen, là où ils existent.

(13)  Voir recommandation CM/Rec(2010)13 du Comité des ministres du Conseil de l'Europe, 23 novembre 2010.

(14)  En particulier, les autorités administratives indépendantes chargées d’autoriser et de contrôler la constitution de fichiers nominatifs; au contraire, leurs compétences devraient être élargies dans la société numérique et sur les réseaux sociaux, et du fait de la valeur d’échange des profils individuels pour la prospection commerciale.

---

---