30.11.2010   

FR

Journal officiel de l'Union européenne

C 323/1

1.

Le 31 mars 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil relatif à l’initiative citoyenne (3). La proposition fait suite à une consultation publique tenue sur la question entre le 11 novembre 2009 et le 31 janvier 2010 (4).

2.

L’initiative citoyenne est une des innovations introduites dans le droit de l’UE par le traité de Lisbonne, qui permet à des citoyens, au nombre d'un million au moins et provenant d’un nombre significatif d’États membres, d’inviter la Commission à soumettre une proposition législative. La proposition de règlement est fondée sur l’article 11, paragraphe 4, du TUE et sur l’article 24, paragraphe 1, du TFUE, qui prévoient que les procédures et conditions requises pour l’initiative citoyenne sont fixées conformément à la procédure législative ordinaire.

3.

La proposition a été envoyée au CEPD conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 le jour même où elle a été adoptée. Le CEPD a été consulté de manière informelle avant l’adoption de la proposition. Le CEPD se félicite de cette consultation informelle et se réjouit de voir que la plupart de ses observations ont été prises en compte dans la proposition finale.

4.

De manière générale, le CEPD est satisfait de la manière dont la question de la protection des données est abordée dans la proposition de règlement. Plus particulièrement, le CEPD souhaite suggérer quelques adaptations. Ces suggestions sont examinées au chapitre II du présent avis.

5.

À titre préliminaire, le CEPD voudrait souligner que le respect absolu des règles de protection des données contribue considérablement à la fiabilité, à la force et au succès de ce nouvel instrument important.

6.

Conformément à l’article 11, paragraphe 4, du TUE et à l’article 24, paragraphe 1, du TFUE, la proposition fixe les procédures et les conditions de l’initiative citoyenne. La proposition de règlement définit le nombre minimal d’États membres, le nombre minimal de citoyens par État membre ainsi que l’âge minimal des citoyens autorisés à participer à une initiative. La proposition détermine en outre les conditions de fond et de procédure régissant l’examen d’une initiative par la Commission.

7.

Le présent avis se limite aux dispositions présentant un intérêt pour la protection des données, à savoir, les règles relatives à l’enregistrement d’une initiative citoyenne (article 4), les procédures pour la collecte des déclarations de soutien (articles 5 et 6) et les exigences relatives à la vérification et à la certification des déclarations de soutien (article 9). L’article 12 de la proposition accorde une attention particulière à la protection des données. Par ailleurs, l’article 13 traite de la responsabilité des organisateurs d’une initiative citoyenne. Ces dispositions seront à présent analysées de manière détaillée.

8.

Avant d’entamer la collecte des déclarations de soutien auprès des signataires, l’organisateur est tenu d’enregistrer l’initiative auprès de la Commission dans un registre mis en ligne. Il doit fournir les informations décrites à l’annexe II de la proposition de règlement. Ces informations comprennent les données à caractère personnel de l’organisateur, à savoir, son nom complet, son adresse postale et son adresse électronique. D’après l’article 4, paragraphe 5, de la proposition, une proposition d’initiative citoyenne est portée à la connaissance du public dans le registre. Quoique le libellé ne le fasse pas apparaître clairement, le CEPD suppose qu’en principe, l’adresse postale et l’adresse électronique de l’organisateur ne seront pas portées à la connaissance du public dans le registre. Dans le cas contraire, le CEPD invite le législateur à apprécier et à justifier la nécessité d’une telle publication et à clarifier le libellé de l’article 4 en ce sens.

9.

L’organisateur est responsable de la collecte, auprès des signataires, des déclarations de soutien nécessaires à une proposition d’initiative citoyenne. D’après l’article 5, paragraphe 1, les formulaires des déclarations de soutien doivent être conformes au modèle figurant à l’annexe III de la proposition de règlement. Ce formulaire type impose au signataire de fournir certaines données à caractère personnel (évidentes), comme le prénom et le nom de famille et, dans le cas d’un formulaire sur papier, la signature authentique. Afin de permettre à l’autorité compétente de vérifier l’authenticité d’une déclaration de soutien, la fourniture de certaines autres informations est également obligatoire: la ville et le pays de résidence du signataire, sa date et son lieu de naissance, sa nationalité, son numéro d’identification personnel, le type de numéro d’identification/document d’identité et l’État membre ayant émis ce numéro/document. D’autres champs, non obligatoires, figurant sur le formulaire type sont la rue où le signataire réside et son adresse électronique.

10.

Le CEPD est d’avis que les champs d’information obligatoires sur le formulaire type sont tous nécessaires pour organiser l’initiative citoyenne et garantir l’authenticité des déclarations de soutien, à l’exception du numéro d’identification personnel. Il existe des différences entre les États membres quant à la manière dont l’utilisation de ces numéros d’identification uniques, lorsqu’ils existent, est réglementée. En tout état de cause, le CEPD ne perçoit pas la valeur ajoutée de l’identification personnelle aux fins de vérifier l’authenticité des déclarations de soutien. Les autres informations demandées peuvent déjà être considérées comme suffisantes pour réaliser cet objectif. Le CEPD recommande dès lors de supprimer ce champ d’information du formulaire type figurant à l’annexe III.

11.

Le CEPD s’interroge aussi sur la nécessité d’inclure les champs d’information non obligatoires dans le formulaire standard et recommande de les supprimer du formulaire type figurant à l’annexe III si cette nécessité n’est pas démontrée.

12.

Par ailleurs, le CEPD recommande d’ajouter une déclaration de confidentialité standard au bas du formulaire indiquant l’identité du responsable du traitement, les fins de la collecte, les autres destinataires des données et la période de conservation. La fourniture de ces informations aux personnes concernées est requise par l’article 10 de la directive 95/46/CE.

13.

L’article 6 de la proposition de règlement traite de la collecte de déclarations de soutien au moyen de systèmes en ligne. Il impose à l’organisateur de veiller, avant d’entamer la collecte des déclarations, à ce que le système de collecte en ligne soit doté des dispositifs de sécurité et techniques adéquats, notamment pour que les données fournies en ligne soient stockées d’une manière sécurisée «afin notamment qu’elles ne puissent être ni modifiées ni utilisées à d’autres fins que pour soutenir l’initiative citoyenne concernée et pour protéger les données à caractère personnel d’une destruction fortuite ou illicite, d’une perte fortuite, d’une altération, d’une divulgation ou d’un accès non autorisé» (5).

14.

L’article 6, paragraphe 2, dispose par ailleurs que l’organisateur peut, à tout moment, demander à l’autorité compétente de l’État membre de certifier que le système de collecte en ligne est conforme à ces dispositions. En tout état de cause, l’organisateur demande cette certification avant de soumettre les déclarations de soutien en vue de leur vérification (voir l’article 9 ci-dessous).

15.

D’autre part, l’article 6, paragraphe 5, oblige la Commission à adopter des spécifications techniques pour la mise en œuvre de ces règles de sécurité, conformément à la procédure de réglementation visée à l’article 19, paragraphe 2, de la proposition.

16.

Le CEPD se réjouit de l’accent que l’article 6 de la proposition met sur la sécurité des systèmes de collecte en ligne. L’obligation de garantir la sécurité du traitement des données est une des exigences en matière de protection des données figurant à l’article 17 de la directive 95/46/CE. Le CEPD se félicite de voir qu’à la suite de ses observations informelles, la Commission a aligné le libellé de l’article 6, paragraphe 4, de la proposition sur celui de l’article 17, paragraphe 1, de la directive 95/46/CE. Le CEPD se réjouit en outre de l’inclusion, à l’article 6, paragraphe 4, d’une obligation de veiller à ce que les données ne soient pas utilisées à d’autre fin que le soutien indiqué de l’initiative citoyenne donnée. Cependant, le CEPD encourage le législateur à inclure à l’article 12 une obligation comparable de portée générale (voir le point 27 ci-dessous).

17.

Le CEPD nourrit des doutes quant au moment choisi pour la certification par l’autorité compétente concernée. L’organisateur est seulement tenu de demander cette certification juste avant de soumettre les déclarations de soutien collectées à cette autorité en vue de leur vérification. Il pourrait le faire plus tôt. Partant du principe que la certification du système en ligne présente une valeur ajoutée, le CEPD est d’avis que la certification devrait avoir lieu avant que les déclarations soient collectées afin d’empêcher que les données à caractère personnel d’au moins un million de citoyens soient collectées par le biais d’un système qui pourrait s’avérer par la suite insuffisamment sécurisé. Le CEPD invite par conséquent le législateur à inclure cette obligation dans le texte de l’article 6, paragraphe 2. Il convient bien sûr de s’assurer que la procédure de certification ne représente pas une charge administrative inutile pour l’organisateur.

18.

À cet égard, le CEPD souhaite attirer l’attention sur l’article 18 de la directive 95/46/CE, qui impose aux responsables du traitement de notifier un traitement à l’autorité nationale chargée de la protection des données préalablement à la mise en œuvre du traitement, sauf si certaines exemptions s’appliquent. On ne voit pas bien en quoi cette obligation de notification, susceptible de faire l’objet d’exemptions, se rapporte à la certification effectuée par l’autorité nationale compétente aux termes de la proposition de règlement. Afin d’éviter autant que possible toute charge administrative, le CEPD invite le législateur à clarifier le rapport entre la procédure de notification visée à l’article 18 de la directive 95/46/CE et celle prévue à l’article 6 de la proposition de règlement.

19.

Quant aux règles d’application pour les spécifications techniques, le CEPD espère être consulté avant leur adoption, d’autant que le document de travail des services de la Commission sur le résultat du livre vert indique que, lors de la consultation publique, plusieurs systèmes ont été proposés pour garantir l’authenticité des signatures en ligne, dont l’idée d’une carte à puce du citoyen européen permettant les signatures électroniques. Ce système appelle de toute évidence de nouvelles considérations en matière de protection des données. (6)

20.

Après avoir recueilli les déclarations de soutien nécessaires auprès des signataires, l’organisateur les soumet à l’autorité compétente concernée pour vérification et certification. L’organisateur transfère les données à caractère personnel des signataires à l’autorité compétente de l’État membre ayant émis le document d’identification du signataire mentionné sur la déclaration de soutien. L’autorité compétente vérifie, dans un délai qui ne dépasse pas trois mois et sur la base de «contrôles appropriés», les déclarations de soutien fournies et délivre à l’organisateur un certificat (7). Le certificat est utilisé lorsque l’initiative est effectivement soumise à la Commission.

21.

Le CEPD salue ce système décentralisé qui ne mettra pas la Commission en possession des données à caractère personnel des signataires, mais seulement des certificats émis par les autorités nationales compétentes. Ce système réduit les risques d’un traitement inadéquat des données à caractère personnel dans la mesure où il limite le nombre de destinataires de ces données.

22.

Le texte ne fait pas apparaître clairement ce qu’il y a lieu d’entendre par «contrôles appropriés» effectués par l’autorité compétente. Le considérant 15 n’apporte pas davantage de précisions sur ce point. Le CEPD se demande comment l’authenticité des déclarations de soutien sera contrôlée par les autorités compétentes. Il s’intéresse en particulier à la question de savoir si les autorités compétentes pourront contrôler les déclarations en les confrontant aux informations relatives à l’identité des citoyens, provenant d’autres sources telles que les registres nationaux ou régionaux. Le CEPD invite le législateur à préciser ce point.

23.

L’article 12 de la proposition de règlement est exclusivement consacré à la protection des données à caractère personnel. La disposition souligne que l’organisateur et l’autorité compétente doivent respecter la directive 95/46/CE et les dispositions nationales adoptées conformément à celle-ci. Le considérant 20 fait également mention de l’applicabilité du règlement (CE) no 45/2001 lorsque la Commission traite des données à caractère personnel en enregistrant l’organisateur d’une initiative. Le CEPD se réjouit de ces déclarations.

24.

La disposition énonce ensuite explicitement que l’organisateur et l’autorité compétente sont considérés comme les responsables du traitement aux fins de leur traitement respectif de données à caractère personnel. Le CEPD se félicite de cette précision. Le responsable du traitement est responsable au premier chef du respect des règles de protection des données. L’article 12 de la proposition écarte tout doute quant à la personne devant être considérée comme le responsable du traitement.

25.

L’article 12 prévoit aussi des périodes de conservation maximales des données à caractère personnel qui ont été collectées. Pour l’organisateur, la durée est fixée à un mois après la présentation de l’initiative à la Commission, ou au moins 18 mois après la date d’enregistrement d’une proposition d’initiative. Les autorités compétentes détruisent les données un mois après avoir émis le certificat. Le CEPD considère favorablement ces limitations car elles garantissent le respect de l’exigence fixée à l’article 6, paragraphe 1, point e), de la directive 95/46/CE.

26.

Le CEPD est en outre satisfait de la répétition, à l’article 12, du libellé de l’article 17, paragraphe 1, de la directive 95/46/CE sur la sécurité du traitement des données. Il est ainsi précisé que ces obligations ne s’appliquent pas seulement à l’utilisation d’un système de collecte en ligne (voir les points 13 et suivants ci-dessus), mais aussi à toutes les situations couvertes par la proposition de règlement.

27.

Comme il a été indiqué au point 16 ci-dessus, le CEPD recommande au législateur d’ajouter un nouveau paragraphe à l’article 12 garantissant que les données à caractère personnel collectées par l’organisateur (soit par un système de collecte en ligne, soit par tout autre moyen) ne seront pas utilisées à une autre fin que le soutien indiqué de l’initiative citoyenne en question et que les données reçues par l’autorité compétente ne seront utilisées qu’aux fins de vérifier l’authenticité des déclarations de soutien à une initiative citoyenne donnée.

28.

L’article 13 dispose que les États membres veillent à ce que, conformément à leur droit civil ou pénal, les organisateurs résidant ou établis sur leur territoire soient responsables de tout manquement à la proposition de règlement et, en particulier, du non-respect des dispositions relatives aux systèmes de collecte en ligne ou de l’utilisation frauduleuse des données. Le considérant 19 fait référence au chapitre III de la directive 95/46/CE qui traite des recours juridictionnels, de la responsabilité et des sanctions et indique que ce chapitre s’applique pleinement au traitement des données effectué en application de la proposition de règlement. L’article 13 de la proposition doit être considéré comme un ajout à cette disposition faisant explicitement référence, contrairement au chapitre III de la directive 95/46/CE, au droit civil et pénal des États membres. Le CEPD se félicite évidemment de cette disposition.

29.

Comme indiqué dans l’introduction, et comme il ressort clairement de l’analyse faite au chapitre II du présent avis, le CEPD est, de manière générale, satisfait de la manière dont la question de la protection des données est abordée dans la proposition de règlement relatif à l'initiative citoyenne. La protection des données a manifestement été prise en compte, et la proposition est rédigée de telle manière à être conforme aux règles de protection des données. Le CEPD est particulièrement satisfait de l’article 12, qui est exclusivement consacré à la protection des données et qui clarifie les responsabilités et les périodes de conservation. Le CEPD tient à souligner que le respect absolu des règles de protection des données contribue considérablement à la fiabilité, à la force et au succès de ce nouvel instrument important. Bien qu’il soit de manière générale satisfait de cette proposition, le CEPD estime néanmoins que des améliorations peuvent encore être apportées.

30.

Le CEPD recommande que le législateur modifie l’article 6 de telle manière à ce que l’organisateur soit tenu de demander la certification de la sécurité du système de collecte en ligne avant de commencer à recueillir les déclarations de soutien. En outre, ces procédures de certification ne devraient pas constituer une charge administrative inutile pour l’organisateur. Par ailleurs, le CEPD recommande de clarifier la relation entre la procédure de notification visée à l’article 18 de la directive 95/46/CE et celle prévue à l’article 6 de la proposition de règlement.

31.

Afin d’améliorer encore la proposition, le CEPD recommande au législateur: