9.2.2012   

FR

Journal officiel de l'Union européenne

C 35/1

1.

Le 12 octobre 2011, la Commission a adopté les propositions suivantes (ci-après, les «propositions») relatives à la politique agricole commune (ci-après, la «PAC») après 2013, qui ont été envoyées le même jour au CEPD pour consultation:

2.

Le CEPD se félicite que la Commission le consulte formellement et qu’une référence au présent avis soit incluse dans les propositions de préambules du règlement relatif aux paiements directs, du règlement «OCM unique», du règlement relatif au développement rural et du règlement horizontal.

3.

Les propositions visent à fournir un cadre pour: 1) la production viable de denrées alimentaires; 2) la gestion durable des ressources naturelles et des mesures en faveur du climat; et 3) un développement territorial équilibré. À cette fin, elles établissent plusieurs régimes de soutien aux agriculteurs ainsi que d’autres mesures pour stimuler le développement agricole et rural.

4.

Dans le cadre de ces programmes, des données à caractère personnel — qui se rapportent essentiellement aux bénéficiaires des aides, mais aussi à des tiers — sont traitées à différentes étapes (traitement des demandes d’aides, garantie de la transparence des paiements, contrôle et lutte contre la fraude, etc.). Bien que la majeure partie du traitement soit effectuée par les États membres sous leur responsabilité, la Commission est en mesure d’accéder à la plupart de ces données. Les bénéficiaires et, dans certains cas, des tiers — par exemple, aux fins de la lutte contre la fraude — doivent fournir des informations aux autorités compétentes désignées.

5.

La pertinence de la protection des données dans le contexte de la PAC a été mise en lumière par la Cour de justice dans son arrêt «Schecke», qui annule la législation de l’UE sur la publication des noms des bénéficiaires des fonds agricoles (10). Le CEPD est conscient du fait que, dans le cas présent, les aspects liés à la protection des données ne sont pas au cœur des propositions. Toutefois, dans la mesure où les propositions se rapportent au traitement de données à caractère personnel, il convient de formuler certaines observations pertinentes.

6.

Le présent avis n’a pas pour but d’analyser l’ensemble des propositions, mais d’apporter une contribution et des orientations pour la conception du traitement de données à caractère personnel nécessaire à la gestion de la PAC d’une manière qui soit respectueuse des droits fondamentaux à la vie privée et à la protection des données et, dans le même temps, de garantir une gestion efficace des aides, la prévention et l’examen des fraudes ainsi que la transparence et la justification des dépenses.

7.

À cet effet, le présent avis est structuré en deux parties: une première partie, plus générale, comprend une analyse et des recommandations applicables à la plupart des propositions. Il s’agit essentiellement d’observations sur les compétences déléguées et d’exécution de la Commission. Une seconde partie aborde ensuite des dispositions spécifiques figurant dans plusieurs propositions (11) et comporte des recommandations pour remédier aux problèmes qui y sont décelés.

8.

Comme indiqué précédemment, la plupart des traitements sont effectués par les États membres. La Commission peut toutefois accéder aux données à caractère personnel dans de nombreux cas. Le CEPD se réjouit par conséquent qu’il soit fait référence à l’applicabilité de la directive 95/46/CE et du règlement (CE) no 45/2001 dans les préambules des propositions concernées (12).

9.

De manière générale, on observe que de nombreuses questions essentielles à la protection des données ne sont pas abordées par les propositions actuelles, mais qu’elles seront réglementées par des actes d’exécution ou des actes délégués. C’est le cas, par exemple, des mesures à adopter en matière de contrôle des aides, d’établissement de systèmes informatiques, de transferts d’informations aux pays tiers et de contrôles sur place (13).

10.

L’article 290 TFUE énonce les conditions de l’exercice des pouvoirs délégués par la Commission. Celle-ci peut se voir conférer le pouvoir de «compléte[r] ou modifie[r] certains éléments non essentiels de l’acte législatif». En outre, «les objectifs, le contenu, la portée et la durée de la délégation» sont explicitement délimités. En ce qui concerne les actes d’exécution, l’article 291 TFUE dispose que ceux-ci peuvent être conférés à la Commission lorsque «des conditions uniformes d’exécution des actes juridiquement contraignants de l’Union sont nécessaires». Un contrôle approprié doit être exercé par les États membres.

11.

Le CEPD considère que les aspects centraux du traitement envisagé dans les propositions et les garanties nécessaires en matière de protection des données ne sauraient être considérés comme des «éléments non essentiels». Par conséquent, les éléments suivants devraient à tout le moins être déjà réglementés par les principaux textes législatifs afin de renforcer la sécurité juridique (14):

12.

Dès que ces éléments auront été précisés dans les propositions législatives principales, des actes délégués ou d’exécution pourront être utilisés pour mettre en œuvre ces garanties spécifiques avec plus de précision. Le CEPD souhaite être consulté sur les actes délégués et d’exécution portant sur des questions liées à la protection des données.

13.

Dans certains cas, des données relatives à des infractions (présumées) peuvent être traitées (par exemple, des données liées à des fraudes). Dans la mesure où la législation applicable en matière de protection des données prévoit une protection particulière pour ces données (17), un contrôle préalable de l’autorité nationale compétente chargée de la protection des données ou du CEPD peut s’avérer nécessaire (18).

14.

Enfin, des mesures de sécurité doivent être prévues, notamment en ce qui concerne les bases de données et les systèmes informatisés. Les principes de la responsabilité et de la vie privée dès la conception doivent également être pris en considération.

15.

L’article 157 du règlement «OCM unique» confère à la Commission le pouvoir d’adopter des actes d’exécution concernant les exigences en matière de communication pour différentes finalités (telles qu’assurer la transparence du marché, l’audit des mesures de la CAP ou la mise en œuvre des accords internationaux) (19)«qui tien[nen]t compte des besoins en données et des synergies entre les sources de données potentielles» (20). Le CEPD recommande de préciser, dans cette disposition, les sources de données pouvant être utilisées et pour quelles finalités spécifiques. À cet égard, il souhaite rappeler que l’interconnexion entre les bases de données risque de contredire le principe de la limitation des finalités (21), selon lequel les données à caractère personnel ne peuvent être traitées ultérieurement d’une manière incompatible avec la finalité initiale pour laquelle elles ont été collectées (22).

16.

L'article 77 du règlement relatif au développement rural établit un nouveau système d’information électronique «à élaborer dans le cadre d’une coopération entre la Commission et les États membres» à des fins de suivi et d’évaluation. Le système implique le traitement de données des «principales caractéristiques du bénéficiaire et du projet», qui sont fournies par les bénéficiaires eux-mêmes (article 78). Dans la mesure où ces «principales informations» comprennent des données à caractère personnel, la disposition doit le préciser. En outre, les catégories de données à traiter doivent être définies et le CEPD être consulté sur les actes d’exécution prévus à l’article 74.

17.

De plus, l’article 92 de la même proposition prévoit la mise en place d’un nouveau système d’information par «la Commission […], en collaboration avec les États membres», pour l’échange sécurisé de «données d’intérêt commun». La définition des catégories de données à échanger est trop large et doit être restreinte au cas où des données à caractère personnel doivent être transférées dans le cadre de ce système. En outre, la relation entre les articles 77 et 92 doit également être précisée, car il n’apparaît pas clairement s’ils ont la même finalité et la même portée.

18.

Le considérant 40 du règlement horizontal énonce que les États membres doivent mettre en œuvre un système de gestion et de contrôle intégré (23) pour certains paiements et «être autorisés à utiliser ce système intégré également pour d’autres régimes d’aide de l’Union» afin «d’améliorer l’efficacité et le suivi du soutien apporté par l’Union». Cette disposition doit être clarifiée, surtout si elle ne se rapporte pas uniquement à l’exploitation de synergies sur le plan des infrastructures, mais aussi à l’utilisation des informations qui y sont stockées aux fins du suivi d’autres régimes d’aides.

19.

D’après l’article 73, paragraphe 1, point c), du règlement horizontal, les demandes d’aides indiquent, outre les parcelles et les droits au paiement, «toute autre information prévue par le présent règlement ou requise en vue de l'application de la législation agricole sectorielle pertinente ou par l'État membre concerné» (24). S’il est prévu que ces informations contiennent des données à caractère personnel, les catégories de données requises doivent être précisées.

20.

Le règlement horizontal institue un certain nombre d’organismes en vue de la mise en œuvre pratique de la PAC et leur confie des missions (articles 7 à 15). Pour la Commission, les compétences suivantes sont prévues (titres IV-VII):

21.

La première mission mentionnée au point précédent suppose le traitement de données à caractère personnel, tandis que pour la seconde, celui-ci n’est pas nécessaire à première vue: une évaluation générale des mesures peut tout aussi bien être effectuée à partir de données agrégées ou anonymisées. Si la Commission n’apporte pas de justification adéquate à la nécessité de traiter des données à caractère personnel dans ce contexte, il convient de préciser qu’aucune donnée à caractère personnel ne doit être fournie à la Commission aux fins de l’évaluation générale des mesures.

22.

Les articles 49 à 52 et 61 à 63 du règlement horizontal établissent les règles des contrôles sur place (27). La proposition prévoit que ceux-ci seront effectués principalement par les autorités compétentes des États membres, en particulier en ce qui concerne les visites domiciliaires ou l’interrogatoire formel des personnes, mais que la Commission aura accès aux informations ainsi obtenues. Le législateur doit préciser à cet égard que la Commission n’aura accès qu’aux données nécessaires aux fins du contrôle. Les catégories de données à caractère personnel auxquelles la Commission aura accès doivent également être précisées.

23.

Aux fins du suivi des aides, le règlement horizontal met en place un système intégré de gestion et de contrôle (28) (articles 68-78) consistant en un certain nombre de bases de données:

24.

La base de données informatisée se compose d’une seule base de données par État membre (et éventuellement de bases de données décentralisées au sein de celle-ci). Elle enregistre les données sur chaque bénéficiaire obtenues à travers les demandes d’aide et de paiement. Dans la mesure où les données collectées à travers les demandes d’aide ne sont pas toutes nécessaires au contrôle, il convient d’envisager des possibilités de réduire le plus possible le traitement de données à caractère personnel dans ce contexte.

25.

L’accès au système de gestion et de contrôle n’est pas explicitement réglementé. À l’instar des contrôles sur place, le CEPD recommande au législateur d’instaurer des règles clairement circonscrites concernant l’accès à ce système.

26.

En ce qui concerne les contrôles, le règlement horizontal prévoit le contrôle de documents commerciaux, y compris de tiers (articles 79-88) (29). Les conditions dans lesquelles les tiers doivent divulguer leurs documents commerciaux doivent être précisées dans l’instrument (30).

27.

L’article 87 de la même proposition dispose que les agents de la Commission ont accès à tous les documents «préparés en vue ou à la suite des contrôles», «conformément aux dispositions législatives nationales applicables en la matière». Cette disposition s’applique tant dans les cas où les agents peuvent participer au contrôle (paragraphe 2) que dans les cas où certains actes sont réservés aux agents spécifiquement désignés par la loi nationale de l’État membre dans lequel le contrôle a lieu (paragraphe 4). Dans les deux cas, il convient de garantir que les agents de la Commission aient uniquement accès aux données nécessaires (par exemple, aux fins du contrôle), même dans les cas où la législation nationale peut autoriser l’accès à d’autres fins. Le CEPD invite le législateur à apporter des précisions au texte à cet égard.

28.

En vertu de l’article 102 du règlement horizontal, les États membres transmettent certaines catégories d’informations, de déclarations et de documents à la Commission, notamment «une synthèse des résultats de tous les audits et contrôles disponibles effectués» [article 102, paragraphe 1, point c), sous v)]. Dans ce cas, il convient de préciser qu’aucune donnée à caractère personnel ne sera incluse dans ces synthèses, ou, si des données à caractère personnel sont nécessaires, de préciser la finalité pour laquelle elles doivent être transmises.

29.

L’article 70, paragraphe 1, du règlement horizontal énonce que la base de données informatisée permet la consultation «auprès de l’autorité compétente de l’État membre» des données à partir de l’année 2000 et qu’elle permet aussi «la consultation directe et immédiate» des données relatives «au moins» aux cinq dernières années civiles consécutives (31).

30.

Le système d’identification et d’enregistrement des droits au paiement permet «la vérification des droits et les contrôles croisés avec les demandes d’aide et le système d’identification des parcelles agricoles». L’article 72, paragraphe 2, du règlement horizontal dispose que les données sont disponibles pour «au moins» quatre ans (32).

31.

Pour ce qui est de ces deux systèmes, le CEPD rappelle l’article 6, paragraphe 1, point e), de la directive 95/46/CE et l’article 4, paragraphe 1, point e), du règlement (CE) no 45/2001, qui précisent que les données ne peuvent être conservées sous une forme identifiable pendant une durée excédant celle nécessaire à la réalisation de la finalité pour laquelle elles ont été collectées. En d’autres termes, il convient de définir des périodes de conservation maximales, et pas uniquement minimales.

32.

L’article 157, paragraphe 1, deuxième alinéa, du règlement «OCM unique» énonce que les données peuvent être transmises à des pays tiers et à des organisations internationales. Le CEPD souhaite rappeler que le transfert de données à caractère personnel à des pays qui ne prévoient pas de protection adéquate ne peut se justifier qu’au cas par cas si une des exceptions visées à l’article 26 de la directive 95/46/CE ou à l’article 9, paragraphe 6, du règlement (CE) no 45/2001 s’applique (par exemple, si le transfert est nécessaire ou rendu juridiquement obligatoire pour des motifs d’intérêt public importants).

33.

Dans ce cas, la finalité spécifique du transfert (par exemple, celle liée à la mise en œuvre d’accords internationaux) doit être précisée (33). Les accords internationaux concernés doivent comprendre des garanties spécifiques en ce qui concerne la protection de la vie privée et des données à caractère personnel et l’exercice de ces droits par les personnes concernées. En outre, au cas où les données doivent être transférées par la Commission, le transfert est soumis à l’autorisation du CEPD (34).

34.

Le considérant 70 du règlement horizontal et les exposés des motifs des propositions indiquent que de nouvelles règles concernant la publication des informations sur les bénéficiaires et «tenant compte des objections soulevées par la Cour» dans l’affaire Schecke  (35) sont en cours d’élaboration.

35.

Le CEPD souhaite rappeler que les règles relatives à la publication des informations sur les bénéficiaires doivent respecter le principe de la proportionnalité. Ainsi que la Cour de justice l’a confirmé (36), il convient de trouver un équilibre satisfaisant entre les droits fondamentaux des bénéficiaires à la vie privée et à la protection des données, et l’intérêt de l’Union européenne à garantir la transparence et la bonne gestion des fonds publics.

36.

Il en va de même de l’article 157, paragraphe 1, deuxième alinéa, du règlement «OCM unique», d’après lequel les données peuvent «être rendues publiques, sous réserve de la protection des données à caractère personnel et de l’intérêt légitime des entreprises à ce que leurs secrets d’affaires ne soient pas divulgués». L’article 157, paragraphe 2, point d), et l’article 157, paragraphe 3, point c), confèrent à la Commission le pouvoir d’adopter des actes délégués établissant «les conditions et moyens de publications des informations» ainsi que des actes d’exécution établissant les modalités relatives à la mise à disposition des informations et documents au public.

37.

Le CEPD salue le fait que la publication d’informations et de documents sera subordonnée à la condition de la protection des données à caractère personnel. Toutefois, des éléments essentiels tels que la finalité de la publication ainsi que les catégories de données à publier doivent être précisés dans les propositions, plutôt que par des actes délégués ou d’exécution.

38.

Les droits des personnes concernées doivent être précisés, notamment en ce qui concerne le droit d’information et le droit d’accès. C’est en particulier le cas en ce qui concerne l’article 81 du règlement horizontal, d’après lequel les documents commerciaux des bénéficiaires, mais aussi des fournisseurs, des clients, des transporteurs ou d’autres tiers peuvent être contrôlés. Si les bénéficiaires peuvent être conscients du fait que leurs donnés sont traitées, les tiers doivent également être dûment informés que leurs données peuvent être utilisées à des fins de contrôle (par exemple, par une déclaration de confidentialité à transmettre au moment de la collecte et par les informations fournies sur tous les sites internet et documents pertinents). L’obligation d’informer les personnes concernées, en ce compris les tiers, doit être incorporée aux propositions.

39.

Des mesures de sécurité doivent être prévues, notamment en ce qui concerne les bases de données et les systèmes informatisés. Les principes de la responsabilité et de la vie privée dès la conception doivent être pris en considération. Une liste des mesures de sécurité à adopter concernant ces bases de données et systèmes informatisés pourrait être introduite, au moins par des actes délégués ou d’exécution, d’autant plus que les données à caractère personnel traitées dans le contexte des contrôles sont susceptibles de comprendre des données relatives aux infractions présumées.

40.

Le CEPD accueille favorablement les exigences fixées par l’article 103 du règlement horizontal concernant la confidentialité et le secret professionnel dans le cadre des contrôles au sens des articles 79 à 88 dudit règlement.

41.

Le CEPD considère que les aspects centraux des traitements envisagés dans les propositions et les garanties nécessaires en matière de protection des données doivent être réglementés dans les principaux textes législatifs plutôt que dans les actes délégués et d’exécution, afin de renforcer la sécurité juridique:

42.

Ces éléments peuvent être précisés dans des actes délégués ou d’exécution. Le CEPD tient à être consulté à ce sujet.

43.

En outre, il convient de prévoir des mesures de sécurité, au moins par des actes délégués ou d’exécution, notamment en ce qui concerne les bases de données et les systèmes informatisés. Les principes de la responsabilité et de la vie privée dès la conception doivent également être pris en considération.

44.

Enfin, un contrôle préalable de l’autorité nationale compétente chargée de la protection des données ou du CEPD peut s’avérer nécessaire compte tenu du fait que, dans certains cas, des données liées à des infractions (présumées) peuvent être traitées (par exemple, des données liées à des fraudes).