31.8.2017   

FR

Journal officiel de l'Union européenne

C 288/107

Rapporteur:

Jorge PEGADO LIZ

1.1.

Par la proposition à l’examen, la Commission répond comme il se doit, de manière généralement correcte et appropriée et d’un point de vue strictement technique et juridique, à la nécessité d’adapter le régime actuel du règlement (CE) no 45/2001 du Parlement européen et du Conseil  (1) et de la décision no 1247/2002/CE du Parlement européen, du Conseil et de la Commission concernant la protection des données à caractère personnel par les institutions, organes et organismes de l’Union  (2) au nouveau règlement général sur la protection des données (RGPD) (3), qui sera applicable dans l’ensemble de l’UE à partir du 25 mai 2018.

1.2.

Cela n’empêche pas le CESE de rappeler le contenu des observations et recommandations qu’il a formulées concernant la proposition de règlement général sur la protection des données, laquelle est devenue le RGPD actuellement en vigueur, et de regretter que cette version finale ne les ait pas reprises entièrement. En outre, il craint que son adoption et entrée en vigueur tardives, compte tenu de la rapidité des évolutions technologiques dans ce domaine, n’augmentent les risques d’appropriation illicite de données ainsi que d’abus dans leur traitement et leur commercialisation, puisqu’elle risque de devenir obsolète avant même d’être mise en œuvre. Dans la mesure où la proposition à l’examen consiste en une adaptation du RGPD au fonctionnement des institutions européennes, ces préoccupations sont encore valables, mutatis mutandis, pour le texte à l’examen, notamment en ce qui concerne l’opacité de son langage, difficilement compréhensible pour le citoyen moyen.

1.3.

Par ailleurs, le CESE considère que les dispositions adoptées dans les institutions de l’UE doivent être prises comme modèle pour les procédures au niveau national, raison pour laquelle il estime qu’il faut apporter un soin tout particulier à la rédaction de la proposition à l’examen.

1.4.

À cet égard, le CESE tend à penser que certains aspects, tels que l’articulation de la proposition à l’examen avec le statut des fonctionnaires de l’Union européenne, le traitement des situations de harcèlement, de cyberharcèlement et de lancement d’alerte («whistleblowing») au sein des institutions de l’UE, sa mise en œuvre en ce qui concerne l’internet des objets, les mégadonnées et l’utilisation des moteurs de recherche aux fins de la consultation, de la création ou de l’utilisation de données à caractère personnel ainsi que les informations personnelles publiées sur les pages web des institutions sur les réseaux sociaux (Facebook, Twitter, Instagram, LinkedIn, etc.), auraient dû être traités de manière explicite.

1.5.

De même, le CESE aurait aimé que la proposition s’attache à énoncer les conditions de sécurité des systèmes informatiques servant de support au traitement de données ainsi que les garanties contre les cyberattaques et la contrefaçon ou la fuite de ces données. En énonçant ces conditions, il y aurait lieu de veiller à leur neutralité technologique et de ne pas s’en remettre aux règles internes particulières à chaque service de façon à mettre clairement en évidence la relation entre la protection des données et la lutte contre la criminalité et le terrorisme sans que cela n’entraîne l’adoption de mesures disproportionnées ou excessives en matière de surveillance, lesquelles devraient dans tous les cas être toujours soumises au contrôle du Contrôleur européen de la protection des données (CEPD).

1.6.

Le CESE aurait également apprécié que la proposition définisse les compétences et les conditions de formation et d’honorabilité requises pour être désigné comme délégué à la protection des données, responsable du traitement de données et sous-traitant auprès des institutions de l’UE, toujours sous le contrôle et la surveillance du CEPD.

1.7.

Le CESE estime également que, eu égard à la spécificité des données collectées et au fait qu’elles ont une incidence directe sur la vie privée des personnes concernées, notamment en matière de santé et de données fiscales et sociales, ces données doivent être limitées à ce qui est strictement nécessaire aux fins auxquelles elles sont destinées et qu’il faut assurer une protection et des garanties maximales dans le traitement de données à caractère personnel particulièrement sensibles, en se fondant sur les normes internationales ainsi que sur les législations nationales les plus avancées et les meilleures pratiques de certains États membres.

1.8.

Le CESE souligne la nécessité que la proposition prévoie expressément le renforcement des moyens du Contrôleur européen de la protection de données et l’affectation d’un personnel en nombre suffisant et possédant un niveau élevé de connaissances et d’expertise technique dans le domaine de la protection des données.

1.9.

Le CESE réaffirme une fois de plus la nécessité que les données relatives aux personnes morales (entreprises, ONG, sociétés commerciales, etc.) légalement constituées fassent également l’objet d’une protection dans le cadre de leur collecte et de leur traitement.

1.10.

Enfin, le CESE propose dans ses observations particulières une série de modifications concernant différentes dispositions afin, si elles sont adoptées, de contribuer à une protection plus effective des données à caractère personnel au sein des institutions de l’UE, non seulement pour ses fonctionnaires, mais également pour les milliers de citoyens européens avec lesquels elles sont en contact. Aussi le CESE demande-t-il instamment à la Commission, mais aussi au Parlement européen et au Conseil, de tenir compte de ses observations dans la rédaction finale de la proposition.

2.1.

Comme l’indique la Commission dans l’exposé des motifs de sa proposition, celle-ci vise à procéder à l’abrogation du règlement (CE) no 45/2001  (4) et de la décision no 1247/2002/CE concernant la protection des données à caractère personnel par les institutions, organes et organismes de l’Union, avec deux objectifs à l’esprit:

2.2.

Il s’avère qu’après une gestation longue et difficile, le Conseil et le Parlement ont fini par adopter un règlement général sur la protection des données (RGPD) (5), qui sera applicable dans toute l’UE à partir du 25 mai 2018; ce règlement nécessite une adaptation de divers instruments législatifs (6), parmi lesquels le règlement (CE) no 45/2001 et la décision no 1247/2002/CE déjà mentionnés.

2.3.

Au vu des résultats des enquêtes et des consultations des parties prenantes, ainsi que de l’étude d’évaluation relative à sa mise en œuvre au cours des quinze dernières années, dont elle rend largement compte, la Commission aboutit aux conclusions suivantes:

2.4.

Vu la nature et l’ampleur des modifications à apporter aux instruments juridiques antérieurs, la Commission a décidé leur abrogation dans leur totalité et leur remplacement par la proposition de règlement désormais à l’examen, cohérent avec les autres dispositifs mentionnés, en vue de leur entrée en vigueur en même temps que le règlement (UE) 2016/679 et comme le prévoit l’article 98 de celui-ci.

3.1.

D’un point de vue strictement technique et juridique, le CESE marque son accord de principe, sur:

3.2.

Cet accord de principe est sans préjudice du contenu des observations et recommandations que le CESE a formulées concernant la proposition de règlement général sur la protection des données (8), laquelle est devenue le RGPD actuellement en vigueur (9), recommandations que cette version finale ne reprend pas entièrement. Le CESE craint que son adoption et entrée en vigueur tardives, compte tenu de la rapidité des évolutions technologiques dans ce domaine, n’augmentent les risques d’appropriation illicite de données ainsi que d’abus dans leur traitement et leur commercialisation, puisqu’elle risque de devenir obsolète avant même d’être mise en œuvre. Dans la mesure où la proposition à l’examen consiste en une adaptation du RGPD au fonctionnement des institutions européennes, ces préoccupations sont encore valables, mutatis mutandis, notamment en ce qui concerne l’opacité de son langage, difficilement compréhensible pour le citoyen moyen — à tel point qu’il aurait été préférable de présenter et d’examiner en même temps le texte à l’examen et la proposition sur le RGPD.

3.3.

Par ailleurs, étant donné que les dispositions adoptées dans les institutions de l’UE doivent être envisagées comme un modèle pour les procédures au niveau national, le CESE estime que certaines questions auraient dû être abordées dans la proposition à l’examen.

3.4.

Tout d’abord, son articulation avec le statut des fonctionnaires de l’Union européenne [règlement no 31 (CEE) (10)] n’est pas claire, dans la mesure où elle ne prévoit pas de dispositions réglementaires spécifiques garantissant que les données personnelles des agents et collaborateurs des institutions font l’objet d’une mesure de protection plus efficace en ce qui concerne le recrutement, la carrière, la durée du contrat et les éventuelles reconductions, ainsi que leur évaluation.

3.4.1.

Dans le texte à l’examen ou ailleurs, il conviendrait de prévoir des dispositions à caractère général assorties de règles concernant le registre de santé des fonctionnaires et des membres de leur famille, la protection des données créées ou utilisées par les fonctionnaires, leurs données génétiques, le traitement et la protection des messages qu’ils envoient par courrier électronique et de ceux envoyés par des citoyens aux organes de l’Union, qu’ils aient été émis par des fonctionnaires appartenant à ces organes ou échangés entre eux ou avec l’extérieur, ainsi que leurs contenus et les pages internet visitées (11).

3.4.2.

De même, les situations de harcèlement, de cyberharcèlement et de lancement d’alerte («whistleblowing») au sein des institutions de l’UE mériteraient un traitement particulier, sans préjudice des dispositions de l’article 68.

3.4.3.

Le CESE s’interroge également quant aux modalités d’application de la proposition à l’examen et du règlement (UE) 2016/679 en ce qui concerne l’internet des objets, les mégadonnées et l’utilisation de moteurs de recherche aux fins de la consultation, de la création ou de l’utilisation de données à caractère personnel, ainsi que les informations personnelles publiées sur les pages internet des institutions sur les réseaux sociaux (Facebook, Twitter, Instagram, LinkedIn, etc.) sans le consentement explicite de la personne concernée.

3.5.

Le Comité aurait aimé que la proposition de la Commission, outre la référence à la confidentialité des communications électroniques à l’article 34, s’attache à énoncer les conditions de sécurité des systèmes informatiques servant de support au traitement de données ainsi que les garanties contre les cyberattaques et la contrefaçon ou la fuite de ces données (12). En énonçant ces conditions, il y aurait lieu de veiller à leur neutralité technologique et de ne pas s’en remettre aux règles internes particulières à chaque service de façon à mettre clairement en évidence la relation entre la protection des données et la lutte contre la criminalité et le terrorisme sans que cela n’entraîne l’adoption de mesures disproportionnées ou excessives en matière de surveillance, lesquelles devraient dans tous les cas être toujours soumises au contrôle du CEPD.

3.6.

Le CESE souligne que l’interconnexion de données à caractère personnel au sein des organes de l’UE ne peut être régie uniquement par le principe de responsabilité visé au considérant 16, et invite dès lors la Commission à introduire une règle spécifique exigeant que l’interconnexion ne puisse être réalisée qu’après autorisation par le CEPD, demandée par le responsable du traitement ou, conjointement, par le sous-traitant.

3.7.

Il souhaiterait également que, sans préjudice de ce qui figure au point 51 du préambule et à l’article 44, paragraphe 3, de la proposition, soient précisées les compétences et les conditions de formation et d’honorabilité requises pour être désigné comme délégué à la protection des données, responsable du traitement de données et sous-traitant auprès des institutions de l’UE (13). Les éventuelles violations par ces responsables de leurs obligations opérationnelles devraient faire l’objet de sanctions véritablement dissuasives, sur les plans disciplinaire, civil et pénal, énoncées dans la proposition et toujours soumises au contrôle et à la surveillance du CEPD.

3.8.

Tout en reconnaissant que la proposition à l’examen constitue une amélioration du niveau de la protection par rapport à l’actuel règlement (CE) no 45/2001, le CESE estimerait que, eu égard à la spécificité des données collectées et au fait qu’elles touchent directement à la vie privée des personnes concernées, notamment en matière de santé, de données fiscales et sociales, la proposition devrait limiter ces données à ce qui est strictement nécessaire aux fins auxquelles elles sont destinées, et offrir une protection et des garanties maximales dans le traitement des données à caractère personnel. Ces garanties devraient être fondées sur les normes internationales ainsi que sur les législations nationales les plus avancées et les meilleures pratiques de certains États membres (14).

3.9.

Bien qu’il soit conscient que tant le règlement (UE) 2016/679 que la proposition à l’examen s’appliquent uniquement aux données dont les titulaires sont des personnes physiques, il réaffirme la nécessité que les données relatives aux personnes morales (entreprises, ONG, sociétés commerciales, etc.), légalement constituées, fassent également l’objet d’une protection dans le cadre de leur collecte et de leur traitement.

4.1.

L’examen détaillé du texte de la proposition soulève quelques doutes et réserves, à la lumière des principes fondamentaux de la protection de la vie privée énoncés dans la Charte des droits fondamentaux de l’Union européenne et des principes de proportionnalité et de précaution.

4.3.1.

Compte tenu du fait que le règlement à l’examen s’applique aux données traitées au sein des institutions de l’UE, le CESE voudrait que le principe de non-discrimination soit expressément mentionné, vu la nature des données traitées.

4.3.2.

En ce qui concerne l’article 4, paragraphe 1, point b), un traitement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, devrait être soumis à une autorisation préalable de la part du Contrôleur européen de la protection des données, qui n’est pas prévue à l’article 58.

4.3.3.

Enfin, il est entendu qu’il devrait exister une disposition expresse équivalente à l’actuel article 7 du règlement (CE) no 45/2001 en ce qui concerne le transfert des données entre les institutions de l’UE.

4.4.1.

On ne comprend pas pourquoi l’article 5, paragraphe 1, point b), de la proposition de règlement n’est pas soumis aux dispositions prévues au paragraphe 2 du même article, contrairement aux points c) et e) de l’article 6, qui sont tous les deux soumis aux conditions visées au paragraphe 3 du règlement général sur la protection des données.

4.4.2.

Le CESE considère qu’au point d), il conviendrait d’ajouter que le consentement doit être soumis au principe de bonne foi.

4.5.1.

L’application de cet article devrait toujours être soumise à une autorisation de la part du Contrôleur européen de la protection des données.

4.5.2.

Dans de tels cas, la personne concernée devrait toujours être informée au préalable de cette éventualité lors de la collecte ou au moment où est prise une nouvelle décision, et devrait disposer le cas échéant de la faculté de demander la rectification ou l’effacement des données, de s’opposer à leur traitement ou de solliciter la limitation de celui-ci.

4.6.1.

Le CESE est d’avis que l’exception à la règle de la validité du consentement pour les enfants de moins de 16 ans (entre 13 et 16 ans), déjà aberrante en soi, n’est admissible que pour les États membres sur la base de justifications culturelles dans le cadre du droit interne (article 8 du règlement général). Par contre, elle ne devrait pas être admise comme règle pour les institutions de l’UE (article 8, paragraphe 1), qui fixe le seuil à 13 ans.

4.6.2.

D’autre part, il n’est pas précisé de quelle manière l’«attention particulière» visée à l’article 58, paragraphe 1, point b), doit être accordée par le CEPD aux enfants, notamment en ce qui concerne les listes d’utilisateurs visées à l’article 36, lorsque leurs données sont accessibles au public.

4.7.1.

Au paragraphe 1 devraient également figurer l’affiliation politique (qui n’est pas synonyme d’opinion politique) et la vie privée.

4.7.2.

Au paragraphe 2, point b), le traitement des données devrait toujours être porté préalablement à la connaissance de la personne concernée, même à des fins de respect d’obligations et d’exercice de droits propres à la personne en question.

4.7.3.

Au paragraphe 2, point d), le traitement ne devrait pouvoir être effectué que moyennant le consentement de la personne concernée.

4.7.4.

Le point e) ne devrait constituer une exception que dans la mesure où l’on peut légitimement déduire des déclarations de la personne concernée son consentement pour le traitement des données.

4.9.1.

Dans le cas des informations supplémentaires visées à l’article 15, paragraphe 2, il convient d’ajouter également l’exigence que la personne concernée ait été informée sur le caractère obligatoire ou facultatif de la réponse du responsable du traitement, ainsi que des conséquences éventuelles de l’absence de réponse.

4.9.2.

Lorsque des données sont recueillies sur des réseaux ouverts, la personne concernée doit toujours être informée que ses données à caractère personnel sont susceptibles de circuler sur les réseaux sans mesures de sécurité et qu’elles courent ainsi le risque d’être vues et utilisées par des tiers non autorisés.

4.9.3.

Le droit visé à l’article 17, paragraphe 1, doit pouvoir être exercé librement, sans restriction et sans frais, à des intervalles raisonnables et de manière rapide ou immédiate.

4.9.4.

Le CESE suggère que la personne concernée devrait obligatoirement obtenir la confirmation que des données la concernant sont ou ne sont pas en cours de traitement.

4.9.5.

Les informations visées à l’article 17, paragraphe 1, doivent être communiquées de manière compréhensible et claire, notamment en ce qui concerne les données en cours de traitement, ainsi que toute information sur l’origine de ces données.

4.11.1.

Le CESE estime qu’il faudrait ajouter au paragraphe 2, point c), que le consentement n’interviendra qu’après une information expresse de la personne concernée s’agissant des conséquences des décisions sur sa situation juridique, car ce n’est que dans cette mesure que son consentement sera dûment informé.

4.11.2.

En ce qui concerne le paragraphe 3, le Comité estime que les mesures appropriées doivent être définies par le Contrôleur européen de la protection des données plutôt que par le responsable du traitement.

4.12.1.

Le CESE redoute que le libellé de l’article 25 de la proposition de règlement ne constitue une interprétation trop extensive de l’article 23 du règlement général sur la protection des données quant à l’étendue des limitations prévues à l’application des dispositions qui établissent les droits fondamentaux des personnes concernées, et recommande une révision critique fondée sur une analyse approfondie et, le cas échéant, restrictive, des différents points, notamment pour ce qui concerne la restriction du droit à la confidentialité sur les réseaux de communications électroniques, prévue par l’article 7 de la Charte des droits fondamentaux et visée dans l’actuelle directive relative à la vie privée et aux communications électroniques, et maintenue dans le projet de règlement en cours d'examen dans le cadre d’un autre avis du CESE.

4.12.2.

Le CESE s’oppose totalement à la possibilité prévue à l’article 25, paragraphe 2, en ce qui concerne la limitation par les institutions et organes de l’Union de l’application des restrictions aux droits des titulaires qui ne résultent pas d’actes juridiques adoptés qui les autorisent. De même pour l’article 34.

—

empêcher toute personne non autorisée d'avoir accès aux installations utilisées pour le traitement des données,

—

empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés sans autorisation,

—

empêcher l'introduction non autorisée dans le fichier ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données à caractère personnel intégrées,

—

empêcher que des systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données,

—

garantir que soit vérifié à quelles instances les données à caractère personnel peuvent être transmises,

—

garantir que seules les personnes autorisées puissent accéder aux données couvertes par l’autorisation préalable.

4.20.1.

Sans préjudice de ce qui précède et eu égard à la nature de sa charge, si le délégué à la protection des données n’est pas fonctionnaire, il doit être possible de le démettre de sa fonction à tout moment et pour cela, l’avis favorable du Contrôleur européen de la protection de données (article 45, paragraphe 8, du règlement) doit suffire.

4.20.2.

Il considère que la durée de son mandat devrait être fixée à cinq ans, renouvelable une seule fois.

4.25.

La proposition de règlement comporte un certain nombre d’expressions et de notions de caractère ambigu et subjectif, qu’il est recommandé de revoir et de remplacer. C’est le cas, par exemple, des formules «dans la mesure du possible», «le cas échéant», «dans les meilleurs délais», «risque élevé», «dûment compte», «délai raisonnable» et «importance particulière».