EUR-Lex Piekļuve Eiropas Savienības tiesību aktiem
Šis dokuments ir izvilkums no tīmekļa vietnes EUR-Lex.
Dokuments 52021XX0427(01)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Digital Services Act (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 149/03
Résumé de l’avis du contrôleur européen de la protection des données concernant la proposition de législation sur les services numériques (Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu) 2021/C 149/03
Résumé de l’avis du contrôleur européen de la protection des données concernant la proposition de législation sur les services numériques (Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu) 2021/C 149/03
JO C 149 du 27.4.2021., 3./7. lpp.
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
27.4.2021 |
FR |
Journal officiel de l’Union européenne |
C 149/3 |
Résumé de l’avis du contrôleur européen de la protection des données concernant la proposition de législation sur les services numériques
(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu)
(2021/C 149/03)
Le 15 décembre 2020, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (législation sur les services numériques) et modifiant la directive 2000/31/CE (la «LSN»).
Le CEPD salue l’objectif de la Commission, qui vise à promouvoir un environnement en ligne transparent et sûr, en définissant les responsabilités et l’obligation de rendre des comptes incombant aux services intermédiaires, et en particulier aux plateformes en ligne, telles que les médias sociaux et les places de marché.
Le CEPD se félicite que la proposition vise à compléter plutôt qu’à remplacer les protections existantes en vertu du règlement (UE) 2016/679 et de la directive 2002/58/CE. Cela étant dit, la proposition aura clairement une incidence sur le traitement des données à caractère personnel. Le CEPD estime qu’il est nécessaire de garantir la complémentarité dans le contrôle et la surveillance des plateformes en ligne et des autres fournisseurs de services d’hébergement.
Certaines activités réalisées dans le contexte des plateformes en ligne présentent des risques accrus non seulement pour les droits des individus, mais aussi pour la société dans son ensemble. Si la proposition comprend un ensemble de mesures d’atténuation des risques, des garanties supplémentaires sont nécessaires, notamment en ce qui concerne la modération des contenus, la publicité en ligne et les systèmes de recommandation.
La modération des contenus devrait se faire dans le respect de l’État de droit. Eu égard à la surveillance déjà caractéristique du comportement des individus, en particulier dans le contexte des plateformes en ligne, la LSN devrait déterminer dans quels cas les efforts de lutte contre les «contenus illicites» légitiment l’utilisation de moyens automatisés pour détecter, recenser et combattre les contenus illicites. Le profilage à des fins de modération de contenu devrait être interdit, à moins que le fournisseur ne puisse démontrer que de telles mesures sont strictement nécessaires pour faire face aux risques systémiques explicitement déterminés par la LSN.
Compte tenu de la multitude de risques associés à la publicité ciblée en ligne, le CEPD exhorte les colégislateurs à envisager des règles supplémentaires allant au-delà de la transparence. Ces mesures devraient comprendre une suppression progressive débouchant sur une interdiction de la publicité ciblée reposant sur un suivi omniprésent, ainsi que des restrictions en ce qui concerne les catégories de données pouvant être traitées à des fins de ciblage et les catégories de données susceptibles d’être divulguées aux annonceurs ou à des tiers afin de permettre ou de faciliter la publicité ciblée.
Conformément aux exigences en matière de protection des données dès la conception et par défaut, les systèmes de recommandation ne devraient pas reposer, par défaut, sur le profilage. Eu égard à leur incidence significative, le CEPD recommande également de prendre des mesures supplémentaires visant à promouvoir davantage la transparence et le contrôle des utilisateurs en ce qui concerne les systèmes de recommandation.
Plus généralement, le CEPD recommande d’introduire des exigences minimales d’interopérabilité pour les très grandes plateformes en ligne et de promouvoir l’élaboration de normes techniques au niveau européen, conformément à la législation de l’Union applicable en matière de normalisation européenne.
Compte tenu de l’expérience et des évolutions liées à la Digital Clearinghouse, le CEPD recommande vivement de prévoir une base juridique explicite et complète pour la coopération et l’échange d’informations pertinentes entre les autorités de contrôle, agissant chacune dans leurs domaines de compétence respectifs. La législation sur les services numériques devrait garantir une coopération institutionnalisée et structurée entre les autorités compétentes en matière de surveillance, y compris les autorités chargées de la protection des données, les autorités de protection des consommateurs et les autorités de la concurrence.
1. INTRODUCTION
|
1. |
Le 15 décembre 2020, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (législation sur les services numériques) et modifiant la directive 2000/31/CE (1). |
|
2. |
La proposition fait suite à la communication intitulée Façonner l’avenir numérique de l’Europe, dans laquelle la Commission a confirmé son intention d’élaborer des règles nouvelles et modifiées pour approfondir le marché intérieur des services numériques, en augmentant et en harmonisant les responsabilités des plateformes en ligne et des fournisseurs de services d’information et en renforçant le contrôle exercé sur les politiques des plateformes en matière de contenus dans l’UE (2). |
|
3. |
Selon l’exposé des motifs, des services numériques, nouveaux et innovants, ont profondément contribué aux transformations sociétales et économiques dans l’Union et dans le monde entier. Dans le même temps, l’utilisation de ces services est également devenue la source de risques et de défis nouveaux, tant pour la société dans son ensemble que pour les particuliers qui y ont recours (3). |
|
4. |
La proposition vise à garantir les meilleures conditions pour la fourniture de services numériques innovants dans le marché intérieur, à contribuer à la sécurité en ligne et à la protection des droits fondamentaux, ainsi qu’à mettre en place une structure de gouvernance solide et durable pour surveiller efficacement les fournisseurs de services intermédiaires (4). À cette fin, la proposition:
|
|
5. |
Le CEPD a été consulté de manière informelle sur le projet de proposition de législation sur les services numériques le 27 novembre 2020. Le CEPD se félicite d’avoir été consulté à ce stade précoce de la procédure. |
|
6. |
Outre la proposition de législation sur les services numériques, la Commission a également adopté une proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques) (5). Conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725, le CEPD a également été consulté sur la proposition de législation sur les marchés numériques, qui fait l’objet d’un avis distinct. |
3. CONCLUSIONS
|
93. |
À la lumière des considérations qui précèdent, le CEPD émet les recommandations suivantes: |
En ce qui concerne le lien avec le règlement (UE) 2016/679 et la directive 2002/58/CE:
|
— |
aligner le libellé de l’article 1er, paragraphe 5, point i), de la proposition sur celui de l’article 1er, paragraphe 5, point b), de la directive 2000/31/CE; et |
|
— |
préciser que la proposition ne s’applique pas aux questions relatives à la responsabilité des responsables du traitement et des sous-traitants; |
En ce qui concerne la modération des contenus et la notification des soupçons d’infractions pénales:
|
— |
préciser que toutes les formes de modération des contenus ne nécessitent pas l’attribution à une personne concernée spécifique et que, conformément aux exigences de minimisation des données et de protection des données dès la conception et par défaut, la modération de contenu ne devrait, dans la mesure du possible, impliquer aucun traitement de données à caractère personnel; |
|
— |
veiller à ce que la modération des contenus se fasse dans le respect de l’État de droit, en déterminant dans quels cas les efforts de lutte contre les «contenus illicites» légitiment l’utilisation de moyens automatisés et le traitement de données à caractère personnel pour détecter, recenser et combattre les contenus illicites; |
|
— |
préciser que le profilage à des fins de modération de contenu devrait être interdit, à moins que le fournisseur ne puisse démontrer que de telles mesures sont strictement nécessaires pour faire face aux risques systémiques explicitement déterminés par la proposition; |
|
— |
préciser si, et le cas échéant, dans quelle mesure, les fournisseurs de services intermédiaires sont autorisés à notifier volontairement aux services répressifs ou judiciaires des soupçons d’infractions pénales, en dehors du cas prévu à l’article 21 de la proposition; |
|
— |
préciser que tout fournisseur de services d’hébergement utilisant des moyens automatisés de modération de contenu devrait veiller à ce que ces moyens ne produisent pas de résultats discriminatoires ou injustifiés; |
|
— |
étendre l’exigence prévue à l’article 12, paragraphe 2, de la proposition à toutes les formes de modération du contenu, que cette modération ait lieu conformément aux conditions générales du fournisseur ou à toute autre base; et préciser que les mesures doivent être «nécessaires» en plus d’être «proportionnées» aux objectifs poursuivis; |
|
— |
renforcer les exigences de transparence énoncées à l’article 14, paragraphe 6, et à l’article 15, paragraphe 2, point c), de la proposition, en précisant davantage les informations à fournir aux personnes concernées, en particulier en cas d’utilisation de moyens automatisés pour la modération de contenu, sans préjudice de l’obligation d’information et des droits des personnes concernées en vertu du règlement (UE) 2016/679; |
|
— |
modifier l’article 15, paragraphe 2, de la proposition pour indiquer sans ambiguïté que des informations relatives à l’utilisation de moyens automatisés pour détecter et repérer des contenus illicites doivent en tout état de cause être fournies, indépendamment de la question de savoir si la décision prise ultérieurement impliquait l’utilisation de moyens automatisés ou non; |
|
— |
exiger de tous les fournisseurs de services d’hébergement, et pas seulement des plateformes en ligne, qu’ils mettent en place un mécanisme de réclamation facilement accessible, comme le prévoit l’article 17 de la proposition; |
|
— |
insérer à l’article 17 de la proposition un délai dans lequel la plateforme doit rendre la décision relative à la réclamation, ainsi que l’indication selon laquelle le mécanisme de réclamation qui doit être mis en place est sans préjudice des droits et voies de recours dont disposent les personnes concernées conformément au règlement (UE) 2016/679 et à la directive 2002/58/CE; |
|
— |
préciser davantage, en les énumérant dans une annexe, toutes les autres infractions pénales (qui ne sont pas des abus sexuels commis sur des enfants) qui atteignent le seuil fixé à l’article 21 de la proposition et qui peuvent donner lieu à une obligation de notification; |
|
— |
envisager d’introduire des mesures supplémentaires pour garantir la transparence et l’exercice des droits des personnes concernées, sous réserve, lorsque cela est strictement nécessaire, de restrictions précisément définies (par exemple, si nécessaire, pour protéger la confidentialité d’une enquête en cours), conformément aux exigences énoncées à l’article 23, paragraphes 1 et 2 du règlement (UE) 2016/679; et |
|
— |
définir clairement le terme «informations pertinentes», mentionné à l’article 21 de la proposition, en fournissant une liste exhaustive des catégories de données qui devraient être communiquées, ainsi que de toutes les catégories de données qui devraient être conservées en vue de faciliter la poursuite des enquêtes menées par les services répressifs compétents, le cas échéant. |
En ce qui concerne la publicité en ligne:
|
— |
envisager des règles supplémentaires allant au-delà de la transparence, y compris une suppression progressive débouchant sur une interdiction de la publicité ciblée reposant sur un suivi omniprésent; |
|
— |
envisager des restrictions concernant a) les catégories de données qui peuvent être traitées à des fins de ciblage; b) les catégories de données ou les critères sur la base desquels des publicités peuvent être ciblées ou notifiées; et c) les catégories de données susceptibles d’être divulguées à des annonceurs ou à des tiers pour permettre ou faciliter la publicité ciblée; et |
|
— |
aux articles 24 et 30 de la proposition, préciser davantage la référence à la personne physique ou morale pour le compte de laquelle la publicité est affichée; |
|
— |
ajouter aux exigences de l’article 24 un nouvel élément exigeant du fournisseur de la plateforme qu’il indique aux personnes concernées si la publicité a été sélectionnée au moyen d’un système automatisé (par exemple, échange ou plateforme publicitaire) et, dans ce cas, l’identité de la ou des personnes physiques ou morales responsables du ou des systèmes; |
|
— |
préciser à l’article 30, paragraphe 2, point d), que le registre devrait également contenir des informations indiquant si un ou plusieurs groupes particuliers de bénéficiaires du service ont été exclus du groupe cible de la publicité; |
|
— |
remplacer les «principaux paramètres» par les «paramètres» et apporter des précisions supplémentaires sur les paramètres qui devraient être divulgués au minimum pour constituer des «informations utiles» au sens des articles 24 et 30 de la proposition; et |
|
— |
envisager des exigences similaires à celles qui s’appliquent pour garantir la traçabilité des professionnels (article 22 de la proposition) en ce qui concerne les utilisateurs de services de publicité en ligne (articles 24 et 30 de la proposition). |
En ce qui concerne les systèmes de recommandation:
|
— |
préciser que, conformément aux exigences en matière de protection des données dès la conception et par défaut, les systèmes de recommandation ne devraient pas être fondés sur le «profilage» au sens de l’article 4, paragraphe 4, du règlement (UE) 2016/679; |
|
— |
veiller à ce que les informations relatives au rôle et au fonctionnement des systèmes de recommandation soient présentées séparément, de manière à être facilement accessibles, claires pour le profane et concises; |
|
— |
veiller à ce que, conformément aux exigences en matière de protection des données dès la conception et par défaut, les systèmes de recommandation ne soient pas fondés sur le «profilage» au sens de l’article 4, paragraphe 4, du règlement (UE) 2016/679; et |
|
— |
introduire les exigences supplémentaires suivantes à l’article 29 de la proposition:
|
En ce qui concerne l’accès des chercheurs agréés:
|
— |
veiller à ce que, conformément aux exigences en matière de protection des données dès la conception et par défaut, les systèmes de recommandation ne soient pas fondés sur le «profilage» au sens de l’article 4, paragraphe 4, du règlement (UE) 2016/679; |
|
— |
reformuler l’article 26, paragraphe 1, point c), de la proposition afin de faire référence aux effets négatifs systémiques, avérés ou prévisibles, sur la protection de la santé publique, des mineurs, du discours civique ou des effets avérés ou prévisibles en lien avec les processus électoraux et la sécurité publique, notamment en ce qui concerne le risque de manipulation intentionnelle de leur service, y compris via l’utilisation non authentique ou l’exploitation automatisée du service; |
|
— |
étendre l’article 31 afin de permettre à tout le moins de vérifier l’efficacité et la proportionnalité des mesures d’atténuation; et |
|
— |
envisager des moyens de faciliter plus généralement la recherche d’intérêt public, y compris en dehors du cadre du contrôle du respect de la proposition; |
En ce qui concerne l’interopérabilité des plateformes:
|
— |
envisager d’introduire des exigences minimales d’interopérabilité pour les très grandes plateformes en ligne et promouvoir l’élaboration de normes techniques au niveau européen, conformément à la législation de l’Union applicable en matière de normalisation européenne. |
En ce qui concerne la mise en œuvre, la coopération, les sanctions et l’exécution:
|
— |
garantir la complémentarité dans le contrôle et la surveillance des plateformes en ligne et d’autres fournisseurs de services d’hébergement, notamment:
|
|
— |
faire référence, dans les considérants de la proposition, aux autorités compétentes dans le domaine du droit de la concurrence, ainsi qu’au comité européen de la protection des données; |
|
— |
veiller à ce que les coordinateurs pour les services numériques, les autorités compétentes et la Commission aient également le pouvoir et le devoir de consulter les autorités compétentes concernées, y compris les autorités chargées de la protection des données, dans le cadre de leurs enquêtes et évaluations du respect de la proposition; |
|
— |
préciser que les autorités de contrôle compétentes en vertu de la proposition devraient être en mesure de fournir, à la demande des autorités de contrôle compétentes en vertu du règlement (UE) 2016/679 ou de leur propre initiative, toute information obtenue dans le cadre des audits et enquêtes ayant trait au traitement de données à caractère personnel et inclure une base juridique explicite à cet effet; |
|
— |
garantir une plus grande cohérence entre les critères énoncés à l’article 41, paragraphe 5, à l’article 42, paragraphe 2, et à l’article 59 de la proposition; et |
|
— |
permettre au comité européen pour les services numériques d’émettre des avis d’initiative et des avis sur des questions autres que les mesures prises par la Commission. |
Bruxelles, le 10 février 2021.
Wojciech Rafał WIEWIOROWSKI
(1) COM(2020) 825 final.
(2) COM(2020) 67 final, p. 12.
(3) COM (2020) 825 final, p. 1.
(4) COM (2020) 825 final, p. 2.
(5) COM(2020) 842 final.