This document is an excerpt from the EUR-Lex website
Document 52021XX0615(01)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Pilot Regime for Market Infrastructures based on Distributed Ledger Technology (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 229/04
Résumé de l’avis du contrôleur européen de la protection des données sur la proposition d’un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu) 2021/C 229/04
Résumé de l’avis du contrôleur européen de la protection des données sur la proposition d’un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu) 2021/C 229/04
JO C 229 du 15.6.2021, p. 13–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
15.6.2021 |
FR |
Journal officiel de l’Union européenne |
C 229/13 |
Résumé de l’avis du contrôleur européen de la protection des données sur la proposition d’un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués
(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu)
(2021/C 229/04)
Le 24 septembre 2020, la Commission européenne a adopté la proposition de règlement du Parlement européen et du Conseil sur un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (COM(2020)594 final). La proposition fixe des exigences harmonisées pour que certains acteurs du marché puissent demander et obtenir l’autorisation d’exploiter des infrastructures de marché reposant sur la technologie des registres distribués (DLT).
Le CEPD souligne que la protection des données à caractère personnel ne constitue pas un obstacle à l’innovation et, en particulier, au développement des nouvelles technologies dans le secteur financier. Dans le même temps, il rappelle que les mesures adoptées au niveau de l’UE en matière de technologies innovantes impliquant le traitement de données à caractère personnel doivent être conformes aux principes généraux de nécessité et de proportionnalité. En outre, étant donné le manque de visibilité complète quant à l’impact de ces nouvelles technologies sur notre société, le CEPD estime que le principe de précaution constitue l’approche à suivre.
Le CEPD note que, selon la configuration de la DLT, les métadonnées ou les données relatives aux transactions qui y sont stockées peuvent être considérées comme des données à caractère personnel, si celles-ci concernent une personne physique identifiée ou identifiable. Ainsi, les responsables du traitement doivent analyser et documenter avec attention la configuration de la DLT afin de déterminer si des données à caractère personnel y sont traitées et, par conséquent, si les opérations sont soumises aux obligations en matière de protection des données.
Le CEPD souligne que la technologie derrière certains registres distribués, en particulier ceux qui sont publics et sans autorisation, soulève des questions cruciales quant à sa compatibilité avec les exigences en matière de protection des données.
Le CEPD estime qu’un débat sur la compatibilité de l’ensemble des systèmes DLT avec le cadre relatif à la protection des données doit avoir lieu avant l’entrée en vigueur de la proposition.
Le CEPD note que, dans le cas des DLT contenant des données à caractère personnel sur la chaîne, les opérations de traitement qui s’y rapportent sont susceptibles de répondre aux critères de classement des opérations de traitement à risque élevé. Par conséquent, le responsable du traitement doit, avant le traitement des données à caractère personnel, procéder à une analyse d’impact relative à la protection des données pour les opérations de traitement envisagées. Qui plus est, l’approbation préalable de l’autorité compétente chargée de la protection des données peut être requise.
Le CEPD recommande que la proposition exige, dans le cadre de la demande d’exploitation d’informations relatives à une infrastructure de marché DLT, le cas échéant, les renseignements essentiels en lien avec les opérations de traitement envisagées. En outre, il recommande que les exploitants d’infrastructures de marché DLT publient la déclaration de confidentialité à l’endroit même où sont publiées leurs informations d’exploitation, comme l’exige la proposition.
Le CEPD souligne que les dispositifs informatiques et de cybersécurité prévus dans la proposition pour l’exploitation des infrastructures de marché DLT doivent également être conformes aux obligations fixées par les articles 22 et 32 du RGPD. (1)
Enfin, dans le cadre du signalement des problèmes opérationnels par les exploitants d’infrastructures de marché DLT, le CEPD recommande de rappeler dans un considérant que, en cas de violation de données à caractère personnel, l’exploitant doit en notifier l’autorité compétente chargée de la protection des données, conformément à l’article 33 du RGPD, et, le cas échéant, la personne concernée, conformément à l’article 34 du RGPD.
3 CONTEXTE
|
1. |
Le 24 septembre 2020, la Commission européenne a adopté la proposition de règlement du Parlement européen et du Conseil sur un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (COM(2020)594 final) (la «proposition»). La proposition fixe des exigences harmonisées pour des acteurs spécifiques du marché, à savoir des entreprises d’investissement, des opérateurs de marché ou des dépositaires centraux de titres, afin qu’ils puissent demander et obtenir l’autorisation d’exploiter des infrastructures de marché reposant sur la technologie des registres distribués (ci-après «infrastructure de marché DLT») dans un environnement supervisé, avec l’application d’exemptions spécifiques au respect de la réglementation financière. La proposition vise notamment quatre objectifs: garantir la sécurité juridique des crypto-actifs, assurer la stabilité financière, protéger les consommateurs ainsi que les investisseurs et favoriser l’innovation pour permettre l’utilisation de la chaîne de blocs, de la technologie des registres distribués et des crypto-actifs. |
|
2. |
La présente proposition fait partie d’un paquet qui comprend une proposition de règlement pour créer des marchés de crypto-actifs (2) (le «règlement MICA»), une proposition sur la résilience opérationnelle numérique (3) (le «règlement DORA») et une proposition visant à clarifier ou modifier certaines règles relatives aux services financiers de l’Union (4). Le CEPD s’attend également à être consulté sur les autres règlements du paquet, conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725. |
|
3. |
Le 26 février 2021, la Commission européenne a demandé au Contrôleur européen de la protection des données (le «CEPD») d’émettre un avis sur la proposition, conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725. Ces observations se limitent aux dispositions pertinentes de la proposition en matière de protection des données. |
5 CONCLUSIONS
À la lumière de ce qui précède, le CEPD:
|
— |
rappelle que la protection des données à caractère personnel ne constitue pas un obstacle à l’innovation et, en particulier, au développement des nouvelles technologies, notamment dans le secteur financier. |
|
— |
souligne que la technologie derrière certains registres distribués, en particulier ceux qui sont publics et sans autorisation, soulève des questions conceptuelles cruciales en ce qui concerne les exigences en matière de protection des données; et recommande donc que le débat sur les moyens possibles d’assurer la compatibilité des systèmes DLT avec le cadre de protection des données ait lieu avant l’entrée en vigueur de la proposition. |
|
— |
insiste sur le fait que les crypto-actifs négociés dans les infrastructures de marché DLT couvertes par la proposition doivent se limiter à ceux qui utilisent une configuration DLT conforme au cadre de protection des données. |
|
— |
suggère d’inclure également, parmi les informations requises par l’exploitant dans le cadre de sa demande d’exploitation d’une infrastructure de marché DLT le cas échéant, la liste des opérations de traitement prévues impliquant des données à caractère personnel, la répartition des rôles et des responsabilités de chaque exploitant, conformément au RGPD, au sein de l’infrastructure de marché DLT, ainsi que les principaux risques envisagés et les stratégies d’atténuation pour ce qui concerne la protection des données. |
|
— |
souligne que les dispositifs informatiques et de cybersécurité prévus dans la proposition pour l’exploitation des infrastructures de marché DLT doivent également être conformes aux obligations fixées par les articles 22 et 32 du RGPD. |
|
— |
recommande de rappeler dans un considérant, dans le cadre du signalement de problèmes opérationnels par les exploitants d’infrastructures de marché DLT, qu’en cas de violation de données à caractère personnel, l’exploitant doit en notifier l’autorité de contrôle de la protection des données compétente, conformément à l’article 33 du RGPD, et, le cas échéant, la personne concernée, conformément à l’article 34 du RGPD. |
Bruxelles, le 23 avril 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(2) Proposition de règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs, et modifiant la directive (UE) 2019/1937, COM/2020/593 final. Disponible sur EUR-Lex - 52020PC0593 - FR - EUR-Lex (europa.eu)
(3) Proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no 909/2014, COM/2020/595 final, disponible sur EUR-Lex - 52020PC0595 - FR - EUR-Lex (europa.eu)
(4) Proposition de directive du Parlement européen et du Conseil modifiant les directives 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341, COM/2020/596 final. Disponible sur EUR-Lex - 52020PC0596 - FR - EUR-Lex (europa.eu)