Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52011AE0999

Avis du Comité économique et social européen sur la «Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — une approche globale de la protection des données à caractère personnel dans l'Union européenne COM(2010) 609 final

JO C 248 du 25.8.2011, p. 123–129 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

25.8.2011   

FR

Journal officiel de l'Union européenne

C 248/123


Avis du Comité économique et social européen sur la «Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — une approche globale de la protection des données à caractère personnel dans l'Union européenne

COM(2010) 609 final

2011/C 248/21

Rapporteur: M. MORGAN

Le 4 novembre 2010, la Commission européenne a décidé, conformément à l'article 304 du traité sur le fonctionnement de l'Union européenne, de consulter le Comité économique et social européen sur la

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions – Une approche globale de la protection des données à caractère personnel dans l'Union européenne

COM(2010) 609 final.

La section spécialisée «Emploi, affaires sociales, citoyenneté», chargée de préparer les travaux du Comité en la matière, a adopté son avis le 27 mai 2011.

Lors de sa 472e session plénière des 15 et 16 juin 2011 (séance du 16 juin 2011), le Comité économique et social européen a adopté le présent avis par 155 voix pour, 9 voix contre et 12 abstentions.

1.   Conclusions et recommandations

1.1   Dans l'Union européenne, la protection des données à caractère personnel est régie par la directive 95/46/CE de 1995, qui définit les deux objectifs suivants:

(1)

Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

(2)

Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.

Il est impératif de parvenir à un équilibre entre ces deux objectifs afin d'éviter qu'ils ne se contredisent. La nouvelle législation a essentiellement pour objet la mise en place d'un cadre juridique qui contribuera à la réalisation de ce double objectif.

1.2   Le CESE se félicite de la communication à l'examen, qui définit l'approche de la Commission concernant la mise à jour de la directive 95/46/CE sur la protection des données à caractère personnel. L'explosion des nouvelles technologies induit une augmentation exponentielle du traitement de données à caractère personnel en ligne, ce qui exige un renforcement adéquat de la protection de celles-ci si l'on veut éviter toute intrusion de grande ampleur dans la vie privée des citoyens. Il convient de circonscrire soigneusement la collecte, la fusion et la gestion des données provenant de sources multiples. Le secteur public détient de nombreuses données concernant les différents aspects de la relation entre le citoyen et l'État. Cependant, il convient de limiter au maximum les données collectées à une fin précise et d'interdire l'intégration des différentes données dans une base de données de type «big brother».

1.3   Dans le même temps, le CESE exhorte toutefois à la prudence. La législation régissant l'activité commerciale doit demeurer stable et prévisible. Aussi le CESE est-il favorable à une révision appropriée de la directive sur la protection des données.

1.4   La Commission reconnaît que l'une des principales préoccupations récurrentes des parties prenantes, notamment des entreprises multinationales, est l'harmonisation insuffisante des législations des États membres en matière de protection des données, en dépit de l'existence d'un cadre juridique commun de l'UE. Le CESE propose que la nouvelle législation offre une protection plus cohérente des données à caractère personnel des travailleurs dans l'ensemble de l'UE, en créant un cadre européen visant à améliorer la clarté et la sécurité juridique. À cet égard, le CESE se félicite plus particulièrement de la volonté de rendre obligatoire la nomination d'un responsable du traitement des données indépendant, et d'harmoniser les règles relatives à ses fonctions et compétences.

1.5   Compte tenu du conflit qui risque de se produire entre la confidentialité des données à caractère personnel et leur exploitation commerciale, ainsi que de l'importance de cet enjeu, les citoyens doivent prendre davantage conscience des fins auxquelles les données les concernant sont collectées et des droits de contrôle dont ils disposent en la matière. Aussi le CESE estime-t-il qu'une mise en œuvre efficace du droit de contrôle et des possibilités de recours effectives sont des conditions indispensables pour que la proposition à l'examen soit véritablement «globale». En outre, il convient également de prendre en compte la dimension transfrontalière.

1.6   S'agissant des citoyens de l'Union, il faudrait appliquer, au sein de celle-ci, la législation de l'État membre du responsable du traitement des données dans lequel elles sont enregistrées. S'agissant des personnes qu'il est légitime de protéger, notamment les salariés et les consommateurs, il faut appliquer la législation en matière de protection des données en vigueur dans leur lieu de résidence habituelle.

1.7   La référence faite aux enfants dans la communication à l'examen est trop sommaire. Il convient d'accorder une attention particulière la question de la protection des données relatives aux enfants. Le droit à l'oubli permettrait certes d'éliminer les traces de bêtises ou petits délits commis par des enfants ou des adolescents, mais ce droit risque de ne pas pouvoir être mis en œuvre dans la pratique.

1.8   La définition des «données sensibles» que propose la communication doit être clarifiée compte tenu de la création constante de nouvelles catégories de données à caractère personnel sous forme électronique. L'utilisation répandue et sans discernement de caméras de surveillance est une source de préoccupation pour le CESE. Il est essentiel de veiller à l'application de la législation limitant l'utilisation abusive de ces images. La question des données GPRS relatives à la localisation d'un individu prête elle aussi à controverse. Par ailleurs, le recours à la capture des données biométriques est en augmentation. La définition devrait dès lors tenir compte de ces nouvelles technologies et méthodes ainsi que des développements technologiques ultérieurs. Il pourrait être nécessaire d'établir des principes liés à des contextes donnés. Le CESE est favorable à une utilisation appropriée de ces nouvelles technologies.

1.9   Tout en reconnaissant le caractère sensible de la coopération policière transfrontière, le CESE juge essentiel que les droits fondamentaux, y compris la protection des données à caractère personnel, fassent en toutes circonstances l'objet d'une attention maximale.

1.10   Le CESE soutient l'objectif général de la Commission qui consiste à assurer une application plus cohérente des règles européennes en matière de protection des données dans tous les États membres. Il est toutefois préoccupé par le fait que la directive 95/46/CE n'est pas encore pleinement et effectivement mise en œuvre dans l'ensemble des 12 nouveaux États membres.

1.11   Le CESE considère que les autorités nationales de protection des données sont en général démunies et surchargées de travail, et qu'il convient de renforcer leur indépendance. Toute nouvelle directive devrait veiller à ce que les autorités nationales disposent du statut, des compétentes et des ressources nécessaires pour qu'elles puissent jouer leur rôle.

1.12   Compte tenu des contributions fournies jusqu'ici par le groupe de travail «Article 29» concernant la protection des personnes à l'égard du traitement des données à caractère personnel, le CESE estime que ce groupe de travail doit continuer à jouer un rôle important à l'avenir.

1.13   Dans le cadre de l'Agenda numérique pour l'Europe, le CESE invite la Commission à envisager la mise en place d'une autorité de l'UE chargée d'examiner les conséquences les plus importantes d'Internet sur la société au cours des 10 à 20 prochaines années. Les dispositions en vigueur en matière de sécurité des données à caractère personnel et de cybersécurité en général deviennent de plus en plus obsolètes et la société tente de rattraper son retard. S'agissant de la protection des données, le CESE préconise la nomination d'un contrôleur de la protection des données pour l'ensemble de l'UE. En effet, les compétences de l'actuel contrôleur européen pour la protection des données se limitent aux institutions européennes, alors que l'Union a besoin d'un contrôleur qui serait responsable de la coordination entre les États membres et des normes opérationnelles. Cette nomination ne permettrait toutefois que de couvrir une partie des compétences de l'autorité supérieure préconisée par le Comité.

2.   Introduction

2.1   Le CESE continue de soutenir les principes de la directive de 1995. Les extraits suivants de la directive, qui ont été simplifiés, mettent clairement en évidence ces principes:

Article 6

Les États membres prévoient que les données à caractère personnel doivent être:

(a)

traitées loyalement et licitement;

(b)

collectées pour des finalités déterminées, explicites et légitimes;

(c)

adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

(d)

exactes et, si nécessaire, mises à jour;

(e)

conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées.

Article 7

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

(a)

la personne concernée a indubitablement donné son consentement; ou

(b)

il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie; ou

(c)

il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou

(d)

il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée; ou

(e)

il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique; ou

(f)

il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement.

Article 8

Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2.2   Au cours des dix dernières années, la situation a considérablement évolué compte tenu des nouvelles dispositions de l'article 16 du traité de Lisbonne et de l'article 8 de la Charte des droits fondamentaux.

2.3   La communication à l'examen vise à définir l'approche qui permettra à la Commission de moderniser le cadre juridique de l'Union européenne régissant la protection des données à caractère personnel dans tous les secteurs d'activité de celle-ci, eu égard notamment aux défis posés par la mondialisation et les nouvelles technologies, de manière à continuer à garantir un niveau élevé de protection des personnes à l'égard du traitement de ces données dans tous les domaines d'activité de l'UE.

2.4   L'échange d'informations à l'échelle mondiale est désormais beaucoup plus facile et rapide. Les données à caractère personnel d'un citoyen (courriel, photos et agenda électronique) peuvent être créées au Royaume-Uni grâce à un logiciel implanté en Allemagne, traitées en Inde, stockées en Pologne et consultées en Espagne par un citoyen italien. Cette augmentation rapide du flux d'informations dans le monde pose un défi important aux droits de chaque personne à la confidentialité des données qui la concernent. Les questions de protection des données, y compris leur dimension transfrontalière, concernent les citoyens dans tous les aspects de leur vie quotidienne: dans leur travail, leurs relations avec les pouvoirs publics, lorsqu'ils achètent des biens ou des services, lorsqu'ils voyagent ou surfent sur Internet.

2.5   En 2011, la Commission présentera des propositions législatives destinées à réviser le cadre juridique de la protection des données, afin de durcir la position de l'UE en matière de protection des données à caractère personnel dans le cadre de toutes les politiques européennes, y compris dans les domaines répressif et de la prévention de la criminalité, eu égard aux spécificités de ces domaines. Les mesures non législatives, telles que la promotion de l'autoréglementation et l'examen de la faisabilité des «labels européens de protection de la vie privée», seront prises parallèlement.

2.6   La Commission continuera également de contrôler la bonne application du droit de l'Union dans ce domaine, en poursuivant une politique volontariste de répression des infractions lorsque les règles de l'UE en matière de protection des données ne seront pas mises en œuvre et appliquées correctement.

2.7   Les principaux objectifs de l'approche globale de la protection des données sont les suivants:

renforcer les droits des personnes;

renforcer la dimension «marché intérieur»;

réviser les règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale;

la dimension mondiale de la protection des données;

renforcer le cadre institutionnel en vue d’un plus grand respect des règles de protection des données.

Les paragraphes 3 à 7 résument ces objectifs et présentent le point de vue du CESE sur les propositions de la Commission. Les titres en gras suivent la structure de la communication de la Commission. Le texte en italique est une synthèse du texte de la communication figurant sous les titres en question.

3.   Renforcer les droits des personnes

3.1   Accroître la sécurité juridique et garantir des conditions égales aux responsables du traitement

La Charte des droits fondamentaux de l'Union européenne prévoit la protection des données à caractère personnel. La définition du terme «données à caractère personnel» englobe l'ensemble des informations relatives à une personne identifiée ou identifiable. La Commission envisagera toutes les manières de garantir une application cohérente des règles de protection des données, eu égard aux répercussions des nouvelles technologies sur les droits et libertés des personnes, et compte tenu de l'objectif consistant à assurer la libre circulation des données à caractère personnel dans le marché intérieur.

3.1.1   La libre circulation des données à caractère personnel dans le marché intérieur est nécessaire au bon fonctionnement de ce marché mais représente une menace pour la confidentialité des données détenues par des entreprises sur les personnes qu'elles emploient. Des garanties spécifiques sont requises, telles que l'obligation, pour les responsables du traitement des données, de rendre des comptes en cas d'échange international de données, ou l'utilisation du cryptage dans le cas de données présentant une certaine sensibilité.

3.1.2   Le CESE souligne que le secteur de l'emploi est plus ou moins exclu non seulement de la communication à l'examen, mais aussi de l'ensemble du débat sur la protection des données en Europe. Les travaux réalisés au niveau européen devraient être utilisés comme un point de départ, en particulier les propositions présentées par le groupe de travail «Article 29».

3.2   Accroître la transparence pour les personnes concernées

La transparence est une condition fondamentale indispensable pour permettre aux personnes d'exercer un contrôle sur leurs propres données et pour assurer la protection effective des données à caractère personnel. La Commission envisagera un principe général de transparence, des obligations spécifiques pour les responsables du traitement, en particulier en ce qui concerne les enfants, des déclarations standards de confidentialité et une notification obligatoire des violations de données.

3.2.1   Des déclarations standards sont préférables car elles permettent d'éviter les conflits d'intérêts. Leur utilisation devrait avoir lieu sur une base volontaire.

3.2.2   L'obligation de transparence ne résout pas nécessairement le problème des clauses contractuelles unilatérales. Il est important de mettre au point des règles plus strictes pour améliorer la protection contre les clauses inéquitables.

3.2.3   Dans la communication, la référence aux enfants est très sommaire, alors qu'il convient d'accorder une attention particulière à la protection des données à caractère personnel les concernant. Le droit à l'oubli permettrait certes d'éliminer les traces de bêtises et petits délits commis par des enfants ou des adolescents, mais ce droit risque de ne pas pouvoir être mis en œuvre dans la pratique (cf. paragraphe 3.3.2.).

3.2.4   Les nouvelles dispositions doivent clarifier le rôle du responsable du traitement des données et celui du responsable de l'enregistrement des données, de manière à ce qu'il n'y ait pas de confusion quant à leur identité et à leurs droits et devoirs respectifs.

3.2.5   Le CESE approuve la proposition relative à l'obligation de notifier les violations de données à caractère personnel, mais considère que cette obligation ne peut s'appliquer à toutes les situations, tous les secteurs et toutes les circonstances.

3.3   Permettre aux intéressés d'exercer un meilleur contrôle sur les données les concernant

Deux conditions préalables importantes sont le traitement des données à des finalités bien précises (principe de la minimisation des données) et le contrôle effectif des intéressés sur les données les concernant. La Commission examinera les moyens permettant de renforcer le principe de la minimisation des données, d'améliorer les modalités d'un véritable exercice des droits d'accès, de rectification, de suppression et de verrouillage, de clarifier le «droit à l'oubli» et de garantir le droit explicite à la portabilité des données.

3.3.1   D'une manière générale, le CESE soutient toute initiative visant à renforcer la protection de la vie privée. Les citoyens devraient avoir le droit d'accéder librement à toutes les données les concernant. Le libre accès aux données relatives à leur cote de solvabilité en est un exemple. La possibilité de revenir sur son consentement sans devoir apporter de motivation et le droit effectif à l'oubli sont fondamentaux mais la protection de la vie privée serait renforcée si l'on commençait par collecter moins de données. Aussi le CESE exhorte-t-il la Commission à appliquer pleinement la proposition consistant à renforcer le principe de la minimisation des données.

3.3.2   Même si le droit à l'oubli est un concept attrayant, il sera difficile à concrétiser compte tenu de la diffusion «virale» des données sur Internet et des technologies qui, si elles effacent les données, ne les oublient toutefois pas.

3.4   Sensibiliser

Il conviendrait que les actions de sensibilisation soient encouragées, y compris la publication d'informations claires sur des sites web, qui décrivent précisément les droits des personnes concernées et les responsabilités des responsables du traitement. La faible sensibilisation des jeunes pose plus particulièrement problème.

3.4.1   La modification requise des comportements sera difficile à mettre en œuvre, notamment parce que le développement rapide des réseaux sociaux n'a pas été assorti d'une sensibilisation accrue des utilisateurs aux conséquences que peut avoir le fait de mettre un volume important de données personnelles en ligne. Alors qu'il serait en principe opportun que tout service Internet fournisse obligatoirement un message d'information, cela pourrait poser un problème aux entreprises. Il conviendrait d'examiner la possibilité de définir des protocoles de sensibilisation par catégorie de services (commerce électronique, fournisseurs de services Internet, moteurs de recherche, réseaux sociaux, etc.).

3.4.2   Le CESE se félicite que la Commission ait l'intention de dégager des fonds européens pour appuyer les actions de sensibilisation. Le CESE souhaiterait que cette idée soit étendue au cofinancement des actions de sensibilisation effectuées par les partenaires sociaux et les organisations de la société civile au niveau européen et national.

3.5   Garantir un consentement éclairé et libre

La Commission étudiera les moyens de clarifier et de renforcer les règles en matière de consentement.

3.5.1   Le type de consentement requis devrait continuer de dépendre du type de données traitées et non du type de technologie utilisée. Toutefois, le CESE est préoccupé par le fait que, dans la plupart des cas, lorsqu'un consentement est donné dans un environnement Internet, l'application ne fournit pas confirmation du consentement et aucun mécanisme effectif ne permet d'enregistrer le retrait dudit consentement. En outre, le consentement peut consister en un simple clic, par lequel l'utilisateur accepte toute une série de clauses et de conditions, dont le consentement peut n'être qu'un élément parmi d'autres. Il serait logique que le consentement fasse l'objet d'un document simple et séparé pour qu'il puisse être valable, donné en connaissance de cause et spécifique.

3.5.2   Pour les organisations et entreprises qui opèrent sur Internet, le traitement des données à caractère personnel est essentiel. L'option par défaut constitue clairement un avantage pour l'opérateur mais, si elle n'est pas appliquée de manière correcte, elle peut défavoriser le client. Son utilisation devrait être limitée de manière à ce que tous les opérateurs soient tenus d'offrir par défaut la protection de la vie privée à leurs clients, si ceux-ci le souhaitent.

3.5.3   Pour que le consentement soit donné librement, le contrat doit par ailleurs être équitable. Il convient de définir des principes pour éviter les pratiques commerciales abusives.

3.6   Protéger les données sensibles

La Commission examinera la possibilité d'étendre la définition de «données sensibles» à d'autres catégories, par exemple les données génétiques, et d'harmoniser les conditions à remplir pour procéder au traitement de données sensibles.

3.6.1   Il convient de clarifier la définition actuelle des données sensibles étant donné que de nouvelles catégories de données électroniques sont sans cesse créées. Le CESE juge préoccupante l'utilisation répandue et sans distinction de caméras de surveillance. Il est essentiel d'appliquer la loi qui limite l'utilisation abusive de ces images. Les données GPRS relatives à la localisation d'un individu sont une autre question controversée. La capture des données biométriques étant en augmentation, la définition devrait également prendre en compte ces nouvelles technologies et méthodes ainsi que les développements technologiques ultérieurs. Il pourrait s'avérer nécessaire de fixer des principes à appliquer dans les différents contextes. Le CESE recommande que ces nouvelles technologies soient utilisées à bon escient.

3.6.2   Il convient par ailleurs d'améliorer la protection des données sensibles. Le chiffrement de certaines catégories de données sensibles devrait être obligatoire. Il faudrait utiliser les meilleures technologies disponibles et les responsables du traitement devraient être tenus de rendre des comptes en cas de violation de la sécurité.

3.7   Renforcer l'efficacité des voies de recours et des sanctions

La possibilité d'accorder le pouvoir de saisir les juridictions nationales sera envisagée ainsi que de prévoir des sanctions pénales pour les violations graves des règles de protection des données.

3.7.1   Compte tenu du conflit qui risque de surgir entre la confidentialité des données à caractère personnel et leur exploitation commerciale, ainsi que de l'importance de cet enjeu, les citoyens doivent prendre davantage conscience des finalités auxquelles les données à caractère personnel les concernant sont collectées et des droits de contrôle dont ils disposent en la matière. Aussi le CESE estime-t-il qu'une mise en œuvre efficace du droit de contrôle et des possibilités de recours effectives sont des conditions indispensables pour que la proposition à l'examen soit véritablement «globale» En outre, il convient également de prendre en compte la dimension transfrontalière.

3.7.2   L'éventualité d'un recours collectif devrait être examinée à titre de réparation pour les violations très graves. Il faudrait évaluer la possibilité, pour les entreprises, les organisations professionnelles et les syndicats, de représenter des citoyens et d'intenter une action devant les tribunaux.

4.   Renforcer la dimension «marché intérieur»

4.1   Accroître la sécurité juridique et garantir des conditions égales aux responsables du traitement

La protection des données dans l'Union revêt une dimension «marché intérieur» notable. La Commission étudiera les moyens de pousser plus loin l'harmonisation des règles de protection des données au niveau de l'UE.

4.1.1   Le CESE craint que la marge décisionnelle accordée aux États membres par la directive 95/46/CE n'ait créé des problèmes de mise en œuvre. Un règlement aurait pu apporter davantage de sécurité. L'harmonisation devrait être mise en œuvre sur la base d'un corpus de normes suffisantes pour satisfaire aux exigences de la directive.

4.1.2   À aucun moment la communication ne fait référence aux travailleurs et à l'accès aux données personnelles les concernant, qui sont gérées par les employeurs. Étant donné que les entreprises multinationales peuvent centraliser les fichiers, au sein de l'UE ou à l'extérieur de celle-ci, la nouvelle législation doit prévoir des droits d'accès clairement définis pour les travailleurs.

4.2   Réduire la charge administrative des responsables du traitement

La Commission étudiera les différents moyens de simplifier et d'harmoniser l'actuel système de notification, y compris l'établissement éventuel d'un formulaire d'enregistrement uniforme valable dans toute l'Union. Les notifications pourraient être publiées sur Internet.

4.2.1   Le CESE accueillerait ces initiatives très favorablement.

4.3   Clarifier les règles relatives au droit applicable et à l'État membre responsable

Les responsables du traitement et les autorités de contrôle de la protection des données ne savent pas toujours clairement quel est l'État membre responsable et quel est le droit applicable lorsque plusieurs États membres sont concernés. La mondialisation et les progrès technologiques rendent le problème plus complexe. Les dispositions existantes sur le droit applicable seront révisées et clarifiées, en vue d'améliorer la sécurité juridique et de clarifier quel est l'État membre responsable.

4.3.1   S'agissant des citoyens européens, il convient d'appliquer, dans l'Union européenne, la législation en vigueur dans l'État membre du responsable du traitement des données dans lequel celles-ci sont conservées. S'agissant des parties prenantes de la circulation des données qu'il est légitime de protéger, comme notamment les salariés et les consommateurs dans l'UE, il faut appliquer la législation en matière de protection des données selon les dispositions et les procédures en vigueur dans le lieu de résidence habituelle de ces salariés ou consommateurs.

4.4   Responsabiliser davantage les responsables du traitement

La Commission étudiera les moyens de garantir que les responsables du traitement mettent en place des politiques et mécanismes efficaces pour assurer le respect des règles en matière de protection des données. Elle veillera à rendre obligatoire la désignation de responsables du traitement et à harmoniser les règles relatives à leurs tâches et compétences, de manière rendre obligatoire une analyse d'impact au regard de la protection des données. En outre, la Commission poursuivra la promotion de l'utilisation des technologies d’amélioration de la confidentialité (PET) et l'application de la notion de «prise en compte du respect de la vie privée dès la conception».

4.4.1   Les PET et la prise en compte du respect de la vie privée dès la conception peuvent atténuer le pouvoir discrétionnaire des responsables du traitement de données qui risqueraient autrement de se trouver devant un conflit d'intérêt avec les priorités commerciales de leurs entreprises. Le CESE invite la Commission à étudier plus avant ces outils et à promouvoir leur développement car ils sont susceptibles d'améliorer la protection des données tout en éliminant les conflits d'intérêts. Ces outils pourraient de préférence devenir obligatoires.

4.4.2   Pour lever tout doute possible, les responsables du traitement devraient rendre des comptes pour tous les aspects du traitement des données relevant de leurs compétences. Par conséquent, les obligations relatives à la protection de la vie privée devraient être expressément énumérées dans les contrats lorsque des sous-traitants et / ou des opérations dans d'autres pays sont concernés.

4.4.3   Le CESE considère que chaque État membre devrait mettre en place un organe professionnel responsable des compétences et des certifications des responsables de la protection des données.

4.4.4   La mise en œuvre des dispositions prévues dans ce domaine devrait être cohérente avec l'objectif consistant à réduire la charge administrative des responsables du traitement mentionnée au paragraphe 4.2.

4.5   Encourager les initiatives en matière d'autoréglementation et examiner la possibilité d'instaurer des régimes européens de certification

La Commission examinera les moyens d'encourager davantage les initiatives en matière d'autoréglementation, notamment les codes de conduite, et étudiera la faisabilité de l'instauration de régimes européens de certification.

4.5.1   Cf. paragraphe 3.7.1: l'application des dispositions et la possibilité de recours sont des aspects auxquels le CESE attribue une importance fondamentale. Les propositions de la Commission sont intéressantes, dans la mesure où elles peuvent contribuer à réduire l'énorme charge réglementaire qui pèse sur les entreprises. Un compendium ou guide des meilleures pratiques devrait être élaboré dans chaque État membre.

5.   Réviser les règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale

L'instrument de l'UE applicable en matière de protection des données à caractère personnel dans les domaines de la coopération policière et judiciaire en matière pénale est la décision-cadre 2008/977/JAI. Elle comporte de nombreuses lacunes pouvant porter directement atteinte aux possibilités des personnes d'exercer leurs droits en matière de protection des données dans ces domaines (par exemple, le droit de savoir quelles données à caractère personnel les concernant sont traitées et échangées, par qui et à quelles fins, et celui de connaître les modalités d'exercice de ces droits, tels que le droit d'accès aux données les concernant).

La Commission examinera l’opportunité d’étendre l’application des règles générales de protection des données aux domaines de la coopération policière et de la coopération judiciaire en matière pénale, d'introduire de nouvelles dispositions dans des domaines tels que le traitement des données génétiques, d'engager une consultation concernant la révision des systèmes de contrôle dans ces domaines et d'évaluer la nécessité d’aligner, à long terme, les diverses règles sectorielles avec le nouveau cadre juridique général de la protection des données.

5.1   Bien qu'il reconnaisse le caractère sensible de la coopération policière transfrontière, le CESE juge essentiel qu'une attention maximale soit accordée en toutes circonstances aux droits fondamentaux, notamment à la protection des données à caractère personnel. Le CESE craint que les préoccupations en matière de sécurité, même si elles ne sont pas fondées, induisent souvent à négliger les droits fondamentaux. Les citoyens doivent être mieux informés des méthodes utilisées par les autorités pour collecter les données à caractère personnel les concernant, et des finalités de cette opération, sur la base des données fournies par les factures de téléphone, les comptes bancaires, les contrôles aéroportuaires, etc.

6.   La dimension mondiale de la protection des données

6.1   Clarifier et simplifier les règles applicables aux transferts internationaux de données

La Commission entend examiner les moyens

d'améliorer et de rationaliser les procédures actuelles de transfert international de données, afin de parvenir à une approche de l’UE plus uniforme et plus cohérente à l’égard des pays tiers et des organisations internationales,

de préciser les critères et conditions applicables pour évaluer le caractère adéquat du niveau de protection assuré dans un pays tiers ou une organisation internationale,

de définir les éléments essentiels en matière de protection des données que devraient comporter les accords internationaux conclus par l’UE.

6.1.1   Le CESE est favorable à ces initiatives louables, et espère que la Commission arrivera à dégager un large accord international, sans lequel ces propositions seraient peu efficaces.

6.2   Promouvoir des principes universels

L’Union européenne doit continuer de jouer un rôle moteur dans l’élaboration et la promotion des normes juridiques et techniques internationales dans le domaine de la protection des données à caractère personnel. À cette fin, la Commission sera active dans le domaine des normes internationales et de la coopération avec des pays tiers et des organisations internationales comme l'OCDE.

6.2.1   Dans ce domaine également, le CESE approuve la proposition de la Commission. Compte tenu de la nature mondiale d'Internet, il est essentiel que les normes et les lignes directrices soient compatibles d'un continent à l'autre. Les données à caractère personnel doivent bénéficier d'une protection transfrontière. Le CESE fait observer que l'on dispose déjà de lignes directrices de l'OCDE ainsi que de la Convention 108 du Conseil de l'Europe, qui fait actuellement l'objet d'une révision. La Commission devrait veiller à ce que la Convention et la nouvelle directive soient compatibles.

7.   Renforcer le cadre institutionnel en vue d’un plus grand respect des règles de protection des données

La Commission examinera les moyens:

de renforcer, clarifier et harmoniser le statut et les pouvoirs des autorités nationales de protection des données;

d'améliorer la coopération et la coordination entre les autorités de protection des données;

de garantir une application plus cohérente des règles de l’UE en matière de protection des données dans tout le marché intérieur, notamment:

en renforçant le rôle des contrôleurs nationaux de la protection des données;

en coordonnant mieux leur action par l’intermédiaire du groupe de travail «article 29»;

en créant un mécanisme destiné à assurer une cohérence sous l’autorité de la Commission européenne.

7.1   Ces propositions concernent des questions clés pour le CESE, compte tenu de l'importance qu'il accorde à la mise en œuvre des dispositions en la matière et aux possibilités de recours. Le CESE partage l'idée selon laquelle il faut «renforcer, clarifier et harmoniser» et «améliorer la coopération et la coordination», ainsi que la volonté générale de la Commission de garantir une application plus cohérente des règles de l'UE en matière de protection des données dans tous les États membres. Il est toutefois préoccupé par le fait que les douze nouveaux États membres n'ont peut-être pas encore tous achevé la mise en œuvre pleine et effective de la directive 95/46/CE.

7.2   Le CESE considère que les autorités nationales de protection des données sont, d'une manière générale, démunies et surchargées de travail et qu'il convient de renforcer leur indépendance. Toute nouvelle directive devrait prévoir que ces autorités disposent du statut, des pouvoirs et des ressources requis pour pouvoir jouer leur rôle. Leurs tâches et ressources devraient être définies au niveau de l'UE et il conviendrait d'examiner la possibilité de nommer un contrôleur européen de la protection des données.

7.3   Compte tenu de la contribution fournie jusqu'ici par le groupe de travail «Article 209» sur la protection des personnes à l'égard du traitement des données à caractère personnel les concernant, le CESE considère que ce groupe doit continuer à jouer, à l'avenir également, un rôle important.

Bruxelles, le 16 juin 2011.

Le président du Comité économique et social européen

Staffan NILSSON


ANNEXE

à l'avis du Comité économique et social européen

L'assemblée plénière a adopté des amendements visant à supprimer les passages ci-dessous, qui figuraient dans l'avis de la section spécialisée; le maintien de chacun de ces paragraphes a toutefois recueilli au moins un quart des voix exprimées:

Paragraphe 1.6

S'agissant des citoyens et des salariés de l'Union européenne, il faudrait appliquer, au sein de celle-ci, la législation de l'État membre du responsable du traitement des données dans lequel elles sont enregistrées.

Paragraphe 4.3.1

S'agissant des citoyens et des travailleurs européens, il convient d'appliquer, dans l'Union européenne, la législation en vigueur dans l'État membre du responsable du traitement des données dans lequel celles-ci sont conservées.

Résultat du vote

 

86 voix pour l'amendement de ces paragraphes,

 

72 voix contre, et

 

19 abstentions.


Top