Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52003DC0265

Rapport de la Commission - Premier Rapport sur la mise en oeuvre de la directive relative à la protection des données (95/46/CE)

/* COM/2003/0265 final */

52003DC0265

Rapport de la Commission - Premier rapport sur la mise en oeuvre de la directive relative à la protection des données (95/46/CE) /* COM/2003/0265 final */


RAPPORT DE LA COMMISSION - Premier rapport sur la mise en oeuvre de la directive relative à la protection des données (95/46/CE)

TABLE DES MATIÈRES

1. L'origine du rapport et de la consultation ouverte sur la mise en oeuvre de la directive 95/46/CE

2. La procédure d'évaluation publique ayant précédé l'élaboration du présent rapport

3. Les principaux résultats de l'évaluation

4. Les principales conclusions de l'évaluation plus en détail

5. Le traitement des données constituées par des sons et des images

6. Programme de travail pour une meilleure mise en application de la directive sur la protection des données (2003-2004)

7. Conclusions

1. L'origine du rapport et de la consultation ouverte sur la mise en oeuvre de la directive 95/46/CE

"Périodiquement, et pour la première fois au plus tard trois ans après la date prévue à l'article 32, paragraphe 1, la Commission fait un rapport au Parlement européen et au Conseil sur l'application de la présente directive et l'assortit, le cas échéant, des propositions de modification appropriées" (article 33 de la directive 95/46/CE).

Le présent rapport constitue la réponse de la Commission à cette obligation. La Commission a retardé la publication de ce rapport de dix-huit mois du fait que les États membres avaient pris du retard pour la transposition de la directive dans leur droit national [1].

[1] En décembre 1999, la Commission a décidé de poursuivre la France, l'Allemagne, l'Irlande, le Luxembourg et les Pays-Bas devant la Cour européenne de justice pour défaut de notification de l'ensemble des mesures nécessaires à la mise en oeuvre de la directive 95/46/CE. En 2001, les Pays-Bas et l'Allemagne ayant procédé à cette notification, la Commission a clos l'action judiciaire contre ces deux pays. La France a notifié la loi de 1978 sur la protection des données, de sorte que la procédure contre cet État a été abandonnée. La France a annoncé par la même occasion son intention de faire passer une nouvelle loi, qui n'est cependant pas encore adoptée à ce jour. Dans le cas du Luxembourg, l'action de la Commission a conduit à la condamnation de ce pays par la Cour de justice pour manquement à ses obligations. La directive a alors été mise en oeuvre par le biais d'une nouvelle loi qui est entrée en vigueur en 2002. L'Irlande a notifié une transposition partielle en 2001; une loi de portée exhaustive a cependant été récemment adoptée. La situation actuelle en matière de mise en oeuvre dans les différents États membres est disponible à l'adresse suivante: http://europa.eu.int/comm/internal_market/ privacy/law/implementation_en.htm

Pour préparer le présent rapport, la Commission a choisi une perspective très large. Elle a été plus loin que le simple examen des dispositions législatives adoptées par les États membres pour mettre en oeuvre la directive, lançant un vaste débat public et encourageant le plus grand nombre possible d'intéressés à y participer. Cette approche n'est pas seulement conforme à celle adoptée par la Commission en matière de gouvernance européenne telle que décrite dans son Livre blanc de juillet 2001 [2]; elle se justifie également d'une part par la nature spécifique de la directive 95/46 et d'autre part par l'évolution rapide du progrès technologique dans la société de l'information et les autres développements internationaux qui ont entraîné des changements significatifs depuis que la directive a été finalisée en 1995.

[2] COM(2001) 428 final, http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf

1.1. Une directive d'une portée très large

La directive 95/46 consacre deux des plus vieilles ambitions du projet d'intégration européenne: l'achèvement d'un marché intérieur (dans le cas présent, la libre circulation des données personnelles) et la protection des libertés et des droits fondamentaux des individus. Dans la directive, ces deux objectifs sont aussi importants l'un que l'autre.

Du point de vue légal, toutefois, l'existence de la directive repose sur des considérations relatives au marché intérieur. Cette législation communautaire se justifie par les approches différentes suivies par les États membres dans ce domaine qui empêchent la libre circulation des données à caractère personnel entre eux [3]. Sa base juridique est constitué par l'article 100a (aujourd'hui article 95) du traité. Toutefois, la proclamation de la Charte des droits fondamentaux de l'Union européenne [4] par le Parlement européen, le Conseil et la Commission en décembre 2000, et en particulier son article 8 qui prévoit le droit à la protection des données, a accentué encore la dimension droits fondamentaux de la directive.

[3] Voir COM(90) 314 final - SYN 287 et 288, 13 septembre 1990, page 4: "La diversité des approches nationales et l'absence d'un système de protection au niveau communautaire constituent un obstacle à l'achèvement du marché intérieur. Si les droits fondamentaux des personnes concernées, en particulier leur droit à la vie privée, ne sont pas protégés au niveau communautaire, la circulation transfrontalière des données pourrait être entravée...".

[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html

En outre, la directive a, par sa nature, une portée très large. Tout individu est une "personne concernée" et toute entité de n'importe quel secteur de l'économie est un "responsable du traitement". Dès lors, même si la justification juridique de cette directive est plutôt spécifique, ses effets sont très étendus et sa mise en oeuvre doit être considérée en ayant cela présent à l'esprit.

1.2. Le développement de la société de l'information et les craintes accrues en matière de sécurité ont avivé le débat sur la protection des données

Depuis l'adoption de la directive en 1995, on a assisté à une croissance exponentielle du nombre de ménages et d'entreprises connectés à Internet et donc du nombre de personnes abandonnant un volume toujours plus important de données personnelles de toute nature sur la toile. En même temps, les méthodes de collectes de ces données personnelles sont devenues de plus en plus sophistiquées et de moins en moins facilement détectables: systèmes de télévision en circuit fermé pour surveiller les endroits publics, logiciels espions installés sur les PC par les sites web auxquels ils ont été connectés afin de collecter des informations sur les habitudes de recherche des utilisateurs qui sont souvent vendues par ces sites à des tiers, surveillance du personnel au lieu de travail, y compris de l'usage qu'il fait du courrier électronique et d'Internet.

Cette "explosion des données" soulève inévitablement la question de savoir si certains de ces défis peuvent être pleinement relevés par la législation, en particulier la législation traditionnelle dont le champ d'application géographique est limité alors qu'avec Internet, les frontières physiques perdent de plus en plus toute signification [5].

[5] Le rapport intitulé "Future bottlenecks in the information society" (Futurs goulots d'étranglement de la société de l'information") élaboré par l'Institut de prospective technologique du Centre commun de recherche de la Commission a conclu à l'existence d'un certain nombre de domaines émergeants qui n'entrent pas facilement dans le champ d'application de la directive et que, par conséquent, il pourrait s'avérer indispensable de revoir celle-ci à l'avenir. En même temps, le rapport note que "bien que la directive soit mise en oeuvre dans tous les États membres, le public s'inquiète de plus en plus de l'utilisation abusive ou frauduleuse des données à caractère personnel dans le cadre des systèmes d'information en ligne". Les preuves collectées à ce sujet dans le cadre de la préparation du présent rapport viennent dans une certaine mesure étayer cette conclusion. http://www.jrc.es/ FutureBottlenecksStudy.pdf

En réponse aux développements technologiques, la directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications [6] a traduit les principes fixés dans la directive 95/46/CE en règles spécifiques pour le secteur des télécommunications. La directive 2002/58/CE du 12 juillet 2002 sur la vie privée et les communications électroniques [7] a récemment mis à jour la directive 97/66/CE de manière à refléter les développements intervenus sur les marchés dans les technologies des services de communications électroniques comme, par exemple, Internet, afin de fournir un niveau de protection équivalent des données personnelles et de la vie privée, quelle que soit la technologie utilisée.

[6] JO n° L 24, 30.1.1998, p. 1-8.

[7] JO n° L 201, 31.07.2002, p. 37-47. Les États membres ont jusqu'au 31 octobre 2003 pour transposer cette nouvelle directive dans leur droit national.

Combinée au progrès technologique et au rôle croissant attribué au capital humain, l'émergence d'une économie basée sur la connaissance a intensifié la collecte de données à caractère personnel sur les travailleurs dans le contexte de l'emploi. Cette évolution a mis en avant un certain nombre de préoccupations et de risques et a attiré l'attention sur la question d'une protection effective des données personnelles sur les travailleurs. Dans son document adressé aux partenaires sociaux européens en octobre 2002 pour la seconde phase de consultation, la Commission a noté que la possibilité pouvait être envisagée d'une action législative communautaire en vertu de l'article 137, paragraphe 2, du traité visant à améliorer les conditions de travail en créant un cadre européen des principes et des règles dans ce domaine. La Commission réfléchit actuellement au suivi à donner à cette consultation et devrait prendre une décision à ce sujet avant la fin 2003. Ce cadre européen viserait à clarifier et à compléter les principes généraux existants de la directive 95/46/CE dans le contexte de l'emploi.

En ce qui concerne le crédit à la consommation, la Commission a prévu, dans sa proposition de directive du Parlement européen et du Conseil relative à l'harmonisation des dispositions législatives, réglementaires et administratives des États membres en matière de crédit aux consommateurs [8], un certain nombre de dispositions sur la protection des données visant à renforcer davantage la protection des consommateurs.

[8] COM (2002) 443 final du 11.09.2002.

En même temps, les préoccupations croissantes en matière de sécurité, notamment à la suite des attentats du 11 septembre 2001, ont quelque peu mis à mal les libertés publiques en général et les droits à la protection de la vie privée et des données à caractère personnel en particulier. Ce n'est ni nouveau, ni surprenant. Déjà en 1978, la Cour européenne des droits de l'homme avait estimé nécessaire de diffuser l'avertissement suivant: "Les États ne devraient pas..., au nom de la lutte contre l'espionnage et le terrorisme, adopter n'importe quelle mesure qu'ils jugent appropriée... le danger étant d'affaiblir ou même de détruire la démocratie au motif de la défendre" [9].

[9] Klass et autres contre l'Allemagne, jugement du 6 septembre 1978, séries A n° 28.

La directive ne s'applique naturellement pas au traitement des données personnelles au cours desdites activités du "troisième pilier" [10] et la protection des données dans ce secteur n'est pour cette raison pas couverte par ce rapport. La même distinction n'est pourtant pas toujours fait au niveau des lois des Etats membres. Ceci soulève un certain nombre de questions et de problèmes qui ont été particulièrement souligné par le Parlement européen et qui méritent un débat ultérieur.

[10] Article 3.2. premier paragraphe exclue du champ d'application "mise en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire... et en tout état de cause aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'Etat (y compris le bien-être économique de l'Etat lorsque ces traitements sont liés à des questions de sûreté de l'Etat) et les activités de l'Etat à des domaines du droit pénal."

2. La procédure d'évaluation publique ayant précédé l'élaboration du présent rapport

Partant du contexte précité, la Commission a cherché à organiser un débat public le plus large possible pour étayer son évaluation de la mise en oeuvre de la directive. Toutes les parties intéressées - gouvernements, institutions, fédérations d'entreprises, associations de consommateur et même entreprises ou citoyens individuels - ont eu la possibilité de participer à l'exercice et de faire valoir leur opinion [11]. La Commission considère ce processus de façon positive. Il lui a permis d'enrichir les sources d'information sur lesquelles elle se base pour établir son rapport et pour formuler ses recommandations d'actions futures. Il a également confirmé le changement d'opinion qui avait déjà été identifié au sein des responsables du traitement en général [12] et des représentants des entreprises en particulier: plutôt que de s'opposer catégoriquement à toute réglementation dans ce domaine, les responsables du traitement participent aujourd'hui de façon constructive au débat sur la manière de garantir de façon efficace la protection effective des données à caractère personnel.

[11] La Commission a posé des questions aux gouvernements des États membres et, séparément, aux autorités de contrôle, a commandé deux études auprès d'experts universitaires, a diffusé un appel général aux contributions publié au Journal officiel et sur son site web, a mis à disposition deux questionnaires sur son site web pendant plus de deux mois, le premier destiné aux responsables du traitement et l'autre aux personnes concernées, et a organisé une conférence internationale au cours de laquelle les problèmes les plus divers ont été discutés au sein de six ateliers séparés.

[12] Même si le présent rapport fait généralement référence aux responsables du traitement en les qualifiant "d'industrie" ou de "représentants des entreprises" (parce qu'il s'agit là de ceux qui ont le plus contribué au débat), les autorités publiques exercant des activités couvertes par la législation communautaire sont également des responsables du traitement et il va de soi que les recommandations et observations contenues dans le présent rapport les concernent également.

La Commission regrette par contre la participation limitée des organisations de consommateurs au processus de consultation [13].

[13] Seul le BEUC, le Bureau européen des unions de consommateurs, a déposé un mémorandum qui, entre autres, répondant à ceux qui avancent que la directive doit être adaptée aux impératifs de l'environnement en ligne, pose qu'à son avis, c'est l'environnement en ligne qui doit être adapté de manière à pleinement tenir compte des principes de la directive.

Le présent rapport synthétise les conclusions que la Commission a tirées de l'ensemble des informations collectées et ses recommandations d'actions futures. La Commission considère toutefois qu'il ne peut s'agir là que d'une première étape d'un processus à plus long terme.

3. Les principaux résultats de l'évaluation

3.1. Arguments pour et contre la modification de la directive

La Commission considère que, globalement, les résultats de l'évaluation plaident plutôt contre toute modification de la directive à ce stade.

Dans le cadre des consultations qui ont été menées, peu de contributeurs ont exclusivement plaidé pour une révision de la directive. L'exception la plus notable est constituée par les propositions détaillées de modifications soumises conjointement par l'Autriche, la Suède, la Finlande et le Royaume-Uni [14]. Ces propositions de modifications concernent seulement un petit nombre de dispositions (essentiellement l'article 4 qui détermine le droit applicable, l'article 8 qui concerne les données à caractère sensible, l'article 12 relatif au droit d'accès, l'article 18 relatif à la notification et les articles 25 et 26 sur le transfert de données vers des pays tiers), laissant inchangés la plupart des dispositions et l'ensemble des principes de la directive. Les difficultés spécifiques que posent ces dispositions et certaines autres seront examinées plus en détail plus loin dans le présent rapport.

[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm. Les Pays-Bas ont ensuite adhéré à ces propositions.

La Commission estime qu'il ne serait pas opportun de formuler des propositions de modifications de la directive dans un avenir immédiat pour les raisons générales suivantes:

- l'expérience acquise avec l'application de la directive reste à ce jour très limitée. Seuls quelques États membres ont mis en oeuvre la directive à temps. La plupart des États membres ont notifié des mesures de mise en oeuvre à la Commission seulement en 2000 et en 2001, tandis que l'Irlande n'a pas encore notifié sa mise en oeuvre récente. Une importante législation de mise en application est toujours en cours de discussion dans certains États membres. L'expérience acquise n'est donc pas suffisante pour le dépôt d'une proposition de directive révisée;

- la plupart des difficultés qui ont été identifiées au cours de l'évaluation peuvent être examinées et résolues sans modifier la directive. Dans certains cas, lorsque les problèmes découlent d'une mise en oeuvre incorrecte de la directive, ils doivent être résolus par une modification spécifique de la législation de l'État membre concerné. Dans d'autres, les marges de manoeuvre que laisse la directive permettent aux autorités de contrôle de collaborer étroitement en vue d'atteindre la convergence nécessaire pour surmonter les difficultés découlant de pratiques qui diffèrent trop largement d'un État membre à l'autre. Dans tous les cas, ces actions devraient produire des effets plus rapidement qu'une modification de la directive et il conviendrait dès lors d'exploiter d'abord pleinement ces possibilités;

- lorsque des modifications ont été proposées par des parties intéressées, le but était souvent de réduire les contraintes pour les responsables du traitement. S'il s'agit là d'une fin légitime en soi et, en fait, d'un but auquel la Commission adhère, celle-ci croit néanmoins qu'un grand nombre des propositions formulées impliqueraient également une diminution du niveau de protection offert. La Commission estime que tout changement qui pourrait être considéré en temps opportun devrait viser à maintenir le même niveau de protection et devrait rester cohérent avec le cadre global que fournissent les instruments internationaux existants [15].

[15] Lors de la séance de clôture de la conférence sur la mise en oeuvre de la directive, le Commissaire Bolkestein s'est exprimé ainsi: "Quand il s'agit de mener une politique dans le domaine de la protection des données, les choses sont probablement tout sauf simples (...). Pour rédiger son rapport, la Commission devra ... garder présent à l'esprit le vaste cadre juridique et politique, en particulier les principes de la convention 108 du Conseil de l'Europe".

Après avoir discuté avec les États membres, la Commission prend acte du fait qu'une large majorité de ceux-ci et, également, des autorités nationales de contrôle, partagent son opinion selon laquelle il n'est ni nécessaire ni désirable au stade actuel de modifier la directive.

La Commission estime qu'un certain nombre des questions qui sont apparues et qui ne font ici l'objet que d'une analyse succincte doivent être approfondies davantage et pourraient, en temps opportun, constituer la base d'une proposition de révision de la directive. Semblable proposition pourrait bénéficier de toute l'expérience qui sera acquise entre-temps en matière de mise en oeuvre de la directive.

En outre, ainsi qu'expliqué plus haut, il subsiste une marge de manoeuvre considérable quand il s'agit d'améliorer la mise en oeuvre de la directive actuelle qui, si elle était exploitée, pourrait résoudre un certain nombre des difficultés identifiées pendant l'évaluation et dont certaines sont attribuées, à tort, à la directive elle-même. L'attention de la Commission s'est portée et continuera à se porter plus particulièrement sur les domaines dans lesquels la législation communautaire n'est manifestement pas respectée et sur des domaines où les divergences d'interprétation et/ou de pratiques posent des difficultés au sein du marché intérieur.

La Commission considère également comme prioritaire une application harmonieuse des règles relatives au transfert de données vers des pays tiers dans la perspective de faciliter les transferts légitimes et d'éviter des obstacles ou complications inutiles.

3.2. Évaluation globale de la mise en oeuvre de la directive dans les États membres; le problème des divergences entre les législations des États membres

Sur la base des informations collectées, les services de la Commission ont procédé à une analyse minutieuse de la mise en oeuvre dans les quinze États membres. À cet égard, la collaboration des États membres et des autorités nationales de contrôle s'est avérée être particulièrement précieuse. Les résultats préliminaires de cette analyse sont exposés dans le présent rapport et dans une annexe technique qui sera publiée séparément; cependant, le processus de collecte des informations et d'analyse de la mise en oeuvre dans les États membres devra être poursuivi au cours de l'année 2003.

RÉSULTATS DES QUESTIONNAIRES EN LIGNE

En utilisant l'outil de consultation en ligne EIP (Élaboration interactive des politiques), la Commission a placé deux questionnaires sur son site web en juin et a invité les "personnes concernées" (consultation publique) et les "responsables du traitement" (groupe cible) à exprimer leur opinion sur différents aspects de la protection des données. À la clôture de la consultation, 9 156 personnes et 982 responsables du traitement avaient répondu. Les résultats complets de cet exercice sont disponibles à l'adresse suivante: http://europa.eu.int/comm/internal_market/ en/privacy/lawreport/consultation_en.hm

La Commission considère comme particulièrement intéressants les résultats suivants:

. bien que la directive sur la protection des données prévoit des normes de protection élevées, la plupart des individus (4 113 sur 9 156, soit 44,9 %) considèrent que le niveau de protection est minimum;

. 81 % des individus considèrent que le niveau de sensibilisation à la question de la protection des données est insuffisant, mauvais ou très mauvais, alors que seulement 10,3 % pensent qu'il est suffisant et 3,46 % à peine qu'il est bon ou très bon. Les responsables du traitement ont une opinion quasiment aussi négative: la plupart (30 %) pensent que la sensibilisation du citoyen à la question de la protection des données est insuffisante, tandis que 2,95 % seulement estiment que le niveau est très bon;

. les entreprises acceptent aujourd'hui plus largement les règles en matière de protection des données. C'est ainsi, par exemple, que 69,1 % des répondants (responsables du traitement) considèrent que les contraintes en matière de protection des données sont indispensables dans notre société, alors que 2,64 % seulement les trouvent complètement inutiles et voudraient qu'elles soient supprimées;

. une large majorité des responsables du traitement ayant répondu au questionnaire (62,1 %) considèrent que répondre aux demandes formulées par les individus d'accéder à leurs données personnelles n'implique pas pour eux des efforts importants au niveau organisationnel. En réalité, la plupart des responsables du traitement ayant répondu au questionnaire soit ne disposaient d'aucune donnée, soit avaient reçu moins de 10 demandes au cours de l'année 2001.

La Commission reconnaît que ces résultats ne peuvent être considérés comme aussi représentatifs que ne le seraient ceux d'une enquête basée sur un échantillon choisi de manière scientifique. Elle propose de mener une autre enquête en 2003, à la fois pour tester la fiabilité des résultats du questionnaire ouvert et pour établir une référence par rapport à laquelle mesurer à l'avenir l'évolution des différents indicateurs ou opinions.

Mise en oeuvre tardive

La mise en oeuvre d'une directive de cette nature, c'est-à-dire une directive qui laisse une l'attitude importante aux États membres mais leur impose en même temps de considérer un grand nombre de détails, est assurément une tâche complexe. Néanmoins, les retards mis par la plupart des États membres pour transposer la directive constituent le premier et le principal manquement que la Commission a le devoir de constater et qu'elle condamne sans équivoque. Elle a naturellement entrepris, ainsi qu'expliqué plus haut, les actions appropriées conformément à l'article 226 du traité.

La libre circulation des informations est garantie

En dépit des retards et des lacunes constatés dans sa mise en oeuvre, la directive a rempli son objectif principal qui est de lever les obstacles à la libre circulation des données à caractère personnel entre les États membres. En réalité, la principale difficulté qui s'est posée avant l'adoption de la directive provenait du fait que, si la plupart des États membres disposaient d'une législation en matière de protection des données, quelques-uns n'en avaient pas. En 1995, seules l'Italie et la Grèce ne disposaient pas d'une telle législation; cependant, ces deux États membres ont été les premiers à transposer la directive, levant ainsi le principal obstacle. Depuis l'adoption de la directive, aucun cas n'a été signalé à la Commission de transferts de données personnelles entre États membres qui auraient été bloqués ou refusés pour des raisons de protection des données.

Naturellement, les obstacles à la libre circulation des données à caractère personnel peuvent être plus subtils que des interdictions flagrantes dans la législation nationale ou des décisions de blocage prises par des autorités nationales de contrôle. Le cas peut ainsi exister d'une règle restrictive inutile dans un État membre qui limite d'abord le traitement interne des données à caractère personnel dans cet État membre et qui empêche alors l'exportation de ces données vers un autre État membre. En d'autres termes, si la Commission est globalement satisfaite de l'impact de la directive sur la libre circulation des informations à l'intérieur de la Communauté, l'expérience que l'on va encore acquérir à l'avenir pourrait mettre en évidence des problèmes qu'il conviendra de résoudre [16].

[16] Par exemple, les approches différentes de la protection des données relatives aux personnes morales.

Niveau élevé de protection

Ainsi que le prévoit le 10ème considérant, l'objectif de rapprochement des législations nationales que poursuit la directive doit viser à garantir un niveau élevé de protection dans la Communauté. La Commission estime que cet objectif a été atteint. En réalité, la directive a fixé certaines normes de protection des données parmi les plus élevées au monde. Toutefois, les résultats de l'enquête en ligne montrent qu'à cet égard, les citoyens ont une perception différente des choses. Ce paradoxe impose une réflexion plus approfondie. Une première analyse donnerait à penser qu'une partie au moins du problème est imputable à une application incomplète des dispositions (voir la section intitulée "Mise en application, respect et connaissance de la directive").

D'autres objectifs de la politique du marché intérieur ne sont pas aussi bien atteints

La Commission a une vue des objectifs globaux que doit poursuivre la législation sur le marché intérieur qui dépasse la simple notion de libre circulation. Cette législation devrait égaliser les chances pour les opérateurs économiques des différents États membres, contribuer à simplifier l'environnement réglementaire dans l'intérêt à la fois d'une bonne gouvernance et de la compétitivité et chercher à encourager plutôt qu'à entraver les activités transfrontalières au sein de l'UE.

En se basant sur ces critères, les divergences qui caractérisent encore la législation en matière de protection des données sont trop grandes entre les États membres. C'est le premier message qu'ont fait passer les contributeurs à l'évaluation, en particulier ceux représentant les intérêts des entreprises qui se plaignent que les disparités actuelles empêchent les organisations multinationales de définir des politiques paneuropéennes en matière de protection des données. La Commission rappelle que l'ambition d'une directive est le rapprochement et non l'uniformisation complète et que, pour respecter le principe de subsidiarité, le processus de rapprochement ne devrait pas aller plus loin que nécessaire. Néanmoins, elle estime que les parties intéressées ont le droit d'exiger davantage de convergence entre les législations et entre les manières dont elles sont appliquées par les États membres et, en particulier, par les autorités nationales de contrôle.

Certains contributeurs à l'évaluation ont proposé de modifier la directive en y ajoutant davantage de détails ou de spécifications permettant d'atteindre cette convergence. La Commission préfère, du moins initialement, procéder autrement. En outre, le caractère général de cette directive, c'est-à-dire le fait qu'elle s'applique à un large éventail de secteurs et de situations, semble plaider contre l'ajout de détails et spécifications supplémentaires.

Les divergences entre les législations des États membres plaident pour différentes solutions

Les divergences entre les législations des États membres ayant des origines différentes et des conséquences différentes, elles appellent également des solutions différentes.

Il est clair que si un État membre dépasse les limites de la directive ou reste en deçà de ses exigences, cela crée une divergence à laquelle il convient de remédier en modifiant la législation de l'État membre concerné. Il existe certaines dispositions qui laissent peu ou pas de marge aux États membres mais pour lesquelles des divergences sont néanmoins apparues; elles concernent, par exemple, les "définitions" ou les listes fermées prévues par la directive, notamment dans son article 7 (principes relatifs à la légitimation des traitements de données), 8.1 (données sensibles), 10 (information de la personne concernée), 13 (exceptions) et 26 (dérogations en ce qui concerne les transferts vers les pays tiers, etc.). Il y aurait donc là un non-respect de la législation communautaire. Dans un certain nombre de cas, l'article 4 (droit national applicable) a également été mal transposé.

La Commission est naturellement prête à utiliser les prérogatives que lui donne l'article 226 du traité pour imposer ces changements. Elle espère toutefois qu'il ne lui sera pas nécessaire de recourir à une action formelle. Des discussions bilatérales et multilatérales seront menées avec les États membres pour trouver de commun accord des solutions qui soient conformes à la directive.

D'autres divergences peuvent être le résultat tout à fait légitime d'une application correcte par un État membre qui a choisi une voie différente, tout en restant dans la marge de manoeuvre que lui octroie la directive. Aux fins du présent rapport, la Commission ne considère ces divergences que dans la mesure où elles ont un impact négatif significatif sur le marché intérieur ou que du point de vue de la "meilleure réglementation", par exemple l'imposition de contraintes administratives non justifiées aux opérateurs.

En résumé :

a) globalement, une grande part des divergences constatées par les services de la Commission ne peuvent être considérées comme violant la législation communautaire ou comme ayant un impact négatif significatif sur le marché intérieur. Néanmoins, lorsque cela sera le cas, la Commission fera le nécessaire pour remédier à la situation;

b) un grand nombre des divergences relevées entravent néanmoins la mise en place d'un système réglementaire souple et simplifié et restent donc un sujet de préoccupation (voir, par exemple, les différences entre les obligations de notification ou les conditions des transferts internationaux).

Ainsi qu'indiqué à la section 6 du programme de travail, il existe tout un éventail d'actions possibles pour éliminer ces divergences. Le recours à ces solutions dans le futur immédiat ne signifie toutefois pas que la Commission exclue la possibilité de modifier plus tard la directive si les difficultés persistent. La coopération plus étroite entre les autorités de contrôle des États membres et la volonté générale de réduire l'impact négatif des divergences doivent donc être considérées comme une solution possible, l'autre étant la modification de la directive dans le sens d'une limitation de la marge de manoeuvre laissée au législateur national et aux autorités nationales de contrôle. À n'en pas douter, les États membres et leurs autorités de contrôle préféreront la première solution; c'est donc à eux de montrer qu'elle peut fonctionner.

Mise en application, respect et connaissance de la directive

Avant de procéder à un examen plus approfondi de quelques-uns des aspects de la mise en oeuvre de la directive qui posent problème, une autre question générale mérite qu'on s'y attarde quelque peu, à savoir le niveau général de respect de la législation sur la protection des données dans l'UE et la question qui y est liée de sa mise en application. Étant donné (ou malgré) le caractère universel du traitement des données à caractère personnel, il est difficile d'obtenir des informations précises ou exhaustives quant à son respect de la législation. Les réponses que la Commission a reçues à son appel à contributions n'apportent pas vraiment beaucoup d'éléments neufs à ce sujet. Combinées à diverses informations factuelles dont dispose la Commission [17], diverses données empiriques suggèrent la présence de trois phénomènes liés entre eux:

[17] Par exemple, le nombre relativement restreint de plaintes individuelles reçues par la Commission elle-même ainsi que le faible nombre d'autorisations accordées par des autorités nationales pour des transferts vers des pays tiers notifiés à la Commission conformément à l'article 26, paragraphe 3.

- un manque de ressources affectées à la mise en oeuvre et des autorités nationales en charge d'un très grand nombre de tâches parmi lesquelles les mesures de mise en application bénéficient d'une priorité relativement basse;

- un respect très inégal par les responsables du traitement, à l'évidence réticents à modifier leurs pratiques actuelles pour respecter des règles qui peuvent paraître complexes et contraignantes, alors que les risques d'être pris paraissent relativement faibles;

- un niveau apparemment faible de connaissance de leurs droits par les personnes concernées, qui peut être à l'origine du phénomène précédent.

Dans de nombreux États membres, les autorités de contrôle elles-mêmes sont également concernées par ces problèmes, en particulier celui du manque de ressources. Celui-ci peut nuire à leur indépendance alors que cette indépendance dans la prise de décisions est une condition sine qua non d'un bon fonctionnement du système.

Cette question nécessite d'être approfondie mais si cette tendance est confirmée, elle suscite de sérieuses inquiétudes et impose que des réflexions soient menées entre la Commission et les États membres et leurs autorités de contrôle pour déterminer sa cause et définir des solutions envisageables.

Les trois problèmes précités étant liés, toute solution trouvée à l'un d'entre eux pourrait avoir des retombées positives sur les autres. Une mise en application plus étendue et plus efficace améliorera le respect de la législation. Un meilleur respect conduira les responsables du traitement à fournir un plus grand nombre et de meilleures informations aux personnes concernées quant à l'existence du traitement et à leurs droits en vertu de la législation, démarche qui, à son tour, accroîtra le niveau de sensibilisation à la question de la protection des données parmi le grand public.

Les pays candidats

En vertu des critères de Copenhague, tous les pays candidats sont tenus d'avoir transposé la directive 95/46/CE au moment de leur adhésion. À ce jour, tous ont adopté une législation dans ce domaine, à l 'exception de la Turquie, où la préparation d'une loi sur la protection des données est bien avancée. Dans les dix pays qui ont signé les traités d'adhésion, les législations en place incorporent la plupart des éléments clés de la directive. Toutefois, des efforts supplémentaires sont encore nécessaires pour aligner complètement cette législation sur les dispositions de la directive.

À cet égard, la création d'autorités de contrôle indépendantes en matière de protection des données est de la plus haute importance. Si l'indépendance des autorités de contrôle de certains pays est exemplaire, elle reste insuffisante dans plusieurs autres. Toutes les autorités de contrôle manquent par ailleurs des ressources nécessaires et certaines d'entre elles ne disposent pas des prérogatives requises pour garantir une mise en application effective de la législation sur la protection des données.

4. Les principales conclusions de l'évaluation plus en détail [18]

[18] Pour disposer d'une vue plus complète, les lecteurs consulteront l'annexe technique.

La présente section examine plus en profondeur et fournit des exemples plus concrets des principaux problèmes auxquels la Commission estime qu'il conviendrait de s'intéresser à la lumière de son évaluation.

4.1. La nécessité d'achever la mise en application de la directive

Une mise en application complète de la directive requiert normalement (outre la promulgation des lois de mise en application) une seconde étape qui consiste pour l'essentiel en l'examen des autres législations qui pourraient entrer en conflit avec les exigences de la directive et/ou en l'édiction de certains principes généraux et en la mise en place de garanties appropriées lorsqu'il a été fait usage des exceptions prévues par la directive.

De façon générale, cette seconde étape dans la mise en application n'a pas encore commencé dans certains États membres et, parmi ceux qui l'ont déjà lancée, quelques-uns n'ont pas beaucoup progressé. Certaines lois nationales font référence à la publication de précisions supplémentaires, par exemple en ce qui concerne l'application de l'article 7, alinéa f) (disposition relative à l'équilibre des intérêts), mais cela n'a pas encore eu lieu jusqu'ici [19].

[19] Plusieurs contributions - voir, par exemple, celle de Clifford Chance - ont mis en exergue l'importance de cette disposition qui ajoute un élément important de souplesse aux "conditions d'équité" du traitement. Une application incomplète ou peu claire de cette disposition engendre une rigidité inutile du cadre réglementaire.

Une autre disposition dont la mise en application est souvent incomplète est l'article 8, paragraphe 2, b). Cette disposition permet aux États membres de faire des exceptions à la règle générale selon laquelle les données sensibles ne devraient pas faire l'objet de traitements lorsque ceux-ci sont nécessaires pour respecter les obligations et les droits spécifiques du responsable du traitement en matière du droit du travail mais uniquement dans la mesure où des garanties adéquates ont été mises en place. Dans certains États membres, ces exigences sont rencontrées par le biais d'une législation sur la protection des données spécifiques au domaine de l'emploi, soit une législation relativement complète (c'est le cas en Finlande), soit une législation qui réglemente certains domaines particuliers (par exemple, la santé au Danemark et aux Pays-Bas). Dans d'autres États membres, la situation est moins claire. Tous les États membres n'ont pas adopté les dispositions prévoyant des garanties et, quand ils l'ont fait, ces dispositions sont souvent peu satisfaisantes. La situation est identique en ce qui concerne l'article 8, paragraphes 4 et 5, qui porte sur le traitement de données sensibles pour des motifs d'intérêt public et sur le traitement de données relatives aux infractions et condamnations pénales. L'absence de garanties implique que le niveau de protection requis pour les individus n'est pas atteint, ce dont devraient s'inquiéter tant les États membres que la Commission. Cette question sera abordée notamment dans le cadre de l'Action 2 du programme de travail. Elle pourrait également être soulevée lorsque des données personnelles font l'objet d'un traitement pour un secteur particulier ou dans un contexte particulier - comme l'emploi - dans le cadre d'une action communautaire sectorielle [20].

[20] Cf., à cet égard, le paragraphe 1.2 supra.

4.2. La nécessité d'une interprétation raisonnable et souple

De nombreuses contributions ont plaidé pour une interprétation raisonnable et souple de certaines dispositions de la directive [21]. Un bon exemple est celui des données sensibles [22]. Il est nécessaire de trouver une interprétation qui soit cohérente à la fois avec la protection renforcée prévue par la directive pour cette catégorie de données et les réalités de la vie économique quotidienne, les traitements de routine et les risques effectifs que certaines opérations posent pour la protection des libertés et des droits fondamentaux des individus [23].

[21] La contribution du "European Privacy Officers Forum (EPOF)" est particulièrement intéressante à cet égard, par exemple en ce qui concerne la nécessité d'interpréter raisonnablement des notions comme celles de "données anonymes" ou de "données sensibles".

[22] La contribution de la "Federation of European Direct Marketin (FEDMA), par exemple, contient certains exemples pratiques des différentes interprétations de cette notion dans des États membres comme le Royaume-Uni, la France et le Portugal.

[23] Ce souhait d'une interprétation raisonnable se retrouve également dans la modification du considérant 33 qui a été proposée par l'Autriche, la Finlande, la Suède et le Royaume-Uni.

L'article 12 de la directive (droit d'accès de la personne concernée aux données la concernant) est une autre disposition pour laquelle des demandes d'interprétation souples ont été formulées en ce qui concerne l'exercice du droit d'accès et la possibilité de refus. L'argument a été avancé que satisfaire à des demandes d'accès concernant des données traitées dans des réseaux d'informations gigantesques et complexes pourrait être extrêmement ardu et coûteux pour le responsable du traitement.

La contribution de l'Autriche, de la Suède, de la Finlande et du Royaume-Uni propose de modifier la directive de manière à ce qu'elle dispose que, si la demande d'accès concerne des informations extrêmement difficiles à retrouver et manifestement exclues des traitements normaux effectués par le responsable, celui-ci peut demander à la personne concernée de l'aider à rechercher ses données [24]. La Commission rappelle que la possibilité de requérir semblable assistance est déjà conforme à la directive dans sa forme actuelle. La Commission n'est pas convaincue que la mise en application de cette disposition de la directive pose en fait des problèmes pratiques sérieux. Quoiqu'il en soit, le nombre de demandes d'accès semble rester relativement bas [25]. La Commission considère que les interprétations et les lignes directrices fournies jusqu'ici par les autorités nationales de contrôle sont tout à fait raisonnables.

[24] Semblable assistance est déjà prévue dans les législations britanniques et autrichiennes.

[25] Voir plus haut les chiffres et les réponses des responsables du traitement au questionnaire en ligne sur cette question.

L'article 5 de la directive dispose que les États membres précisent, dans les limites des dispositions du chapitre II (articles 6 à 21), les conditions dans lesquelles les traitements de données à caractère personnel sont licites. À cet égard, la Commission prend note des préoccupations exprimées par la Suède dans le cadre de l'évaluation en cours de sa législation en ce qui concerne l'application des principes de protection des données à du texte continu ou à des sons et images. La Commission considère que l'objectif de simplification des conditions du traitement des données, lorsque ce traitement n'est pas susceptible d'engendrer des risques substantiels pour les droits des individus, peut être mieux atteint en profitant de la marche de manoeuvre qu'offre la directive, en particulier les possibilités offertes par les articles 7, (f), 9 et 13.

4.3. La promotion et l'encouragement des technologies de protection de la vie privée

Le principe des technologies de protection de la vie privée (PET) est de concevoir des systèmes et des technologies de l'information et de la communication d'une manière qui minimise la collecte et l'utilisation de données à caractère personnel et empêche toute forme illégale de traitement. La Commission considère que le recours à des mesures technologiques appropriées constitue un complément essentiel aux moyens juridiques et devrait faire partie intégrante de toutes les démarches visant à atteindre un niveau suffisant de protection de la vie privée.

Les produits technologiques devraient systématiquement être développés en conformité avec les règles applicables en matière de protection des données. Cette conformité n'est cependant que la première étape. L'objectif doit être de fabriquer des produits qui n'ont seulement respectent et protègent la vie privée mais, si possible également, en renforcent la protection [26].

[26] Voir, à cet égard, les conclusions du document WP 37 du groupe de travail article 29 de novembre 2000: "Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne". Les produits qui respectent la vie privée sont ceux développés de façon pleinement conforme à la directive. Les produits qui protègent la vie privée vont un peu plus loin en introduisant certains éléments permettant un accès plus aisé des utilisateurs à certains aspects de la protection de la vie privée comme, par exemple, la fourniture d'informations très conviviales aux personnes concernées ou la possibilité offerte à ceux -ci d'exercer très facilement leurs droits. Les produits qui renforcent la protection de la vie privée sont ceux qui ont été conçus d'une manière qui vise à permettre le recours le plus large possible à des données parfaitement anonymes. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm

Au cours des discussions sur les PET qui ont eu lieu pendant la conférence 2002 de la Commission sur la mise en oeuvre de la directive, il a été indiqué que l'utilisation de certains outils technologiques empêchait les responsables du traitement de se conformer à la loi. Un autre problème qui est apparu est celui de la difficulté d'identifier les produits qui sont réellement des PET. Certains participants ont plaidé pour une certaine forme de certification ou de label de qualité basée sur une vérification indépendante du produit. Actuellement, certains systèmes présentés comme des PET ne sont même pas du type respectant la vie privée.

La question clé est dès lors non seulement de savoir comment créer des technologies qui permettent réellement de renforcer la protection de la vie privée mais également de savoir comment s'assurer que ces technologies sont correctement identifiées et reconnues en tant que telles par les utilisateurs. Les systèmes de certification jouent un rôle primordial en la matière et la Commission continuera de suivre les développements dans ce domaine [27].

[27] Au Canada, où le gouvernement fédéral a été le premier gouvernement national à rendre obligatoires les "évaluations d'impact sur la vie privée" pour tous les départements et services fédéraux et pour tous les programmes et services où pourraient se poser des problèmes liés à la protection de la vie privée. Cette politique impose aux services gouvernementaux de mener des évaluations d'impact sur la vie privée aux premiers stades de la conception ou de la révision d'un programme ou d'un service, de manière à influencer le processus de développement et à garantir que la protection de la vie privée constitue une préoccupation fondamentale. Le Land allemand du Schleswig-Holstein a introduit un système de certification impliquant de la même façon tant le secteur public que le secteur privé.

La Commission estime que ces systèmes doivent être encouragés et développés davantage. L'objectif n'est pas uniquement d'améliorer les pratiques en matière de protection de la vie privée mais également d'accroître la transparence et, partant, la confiance des utilisateurs et de donner la possibilité à ceux qui investissent dans le respect de la vie privée et même en accroissent la protection de montrer leurs résultats dans ce domaine et d'en faire un avantage concurrentiel.

4.4. Commentaires sur certaines dispositions spécifiques

Le présent rapport indique uniquement, dans chaque cas, les principales conclusions. Des indications plus détaillées seront disponibles dans une annexe technique à publier séparément [28].

[28] www.europa.eu.int/comm/privacy

4.4.1. Article 4: Droit national applicable

Dans une perspective de marché intérieur, il s'agit là d'une des dispositions les plus importantes de la directive. Sa mise en oeuvre correcte est essentielle au bon fonctionnement du système. Or, elle pose actuellement problème dans plusieurs cas, avec pour résultat l'apparition possible du type de conflit de lois que cet article cherche justement à éviter. À cet égard, plusieurs États membres devront modifier leur législation.

Cette disposition a été l'une des plus critiquées durant le processus d'évaluation. Certaines contributions plaident pour une règle "du pays d'origine" qui permettrait aux organisations multinationales d'opérer avec un ensemble unique de règles au sein de l'UE. De nombreuses contributions ont également avancé que le "recours à des moyens" ne constituait pas un critère pertinent ou valable pour l'application de la législation communautaire à des responsables du traitement établis en dehors de l'UE.

En ce qui concerne la règle du pays d'origine, la directive permet déjà l'organisation du traitement sous le contrôle d'un seul responsable, ce qui implique, en fait, de ne satisfaire qu'à la seule législation sur la protection des données du pays d'établissement de ce responsable. Cela ne vaut bien sûr pas lorsqu'une entreprise a choisi d'exercer son droit d'établissement dans plus d'un État membre.

En ce qui concerne le "recours à des moyens", la Commission est consciente du fait que l'application pratique de ce critère peut être malaisée et qu'il doit être clarifié davantage. Si cette clarification ne devait pas s'avérer suffisante pour garantir l'application pratique de ce critère, il pourrait s'avérer nécessaire, en temps opportun, de proposer une modification à la directive qui introduirait un type de lien différent pour déterminer la législation applicable.

La priorité de la Commission reste cependant de garantir une application correcte par les États membres de la disposition existante. Avant qu'une proposition de modification de l'article 4, paragraphe 1, alinéa c), tenant compte des développements technologiques, puisse être avancée, il convient d'acquérir plus d'expérience avec son application et de réfléchir davantage encore. Nonobstant la nécessité de poursuivre cette réflexion, il serait erroné de donner l'impression que l'ensemble de l'article 4 est contesté. Au contraire, de nombreux aspects de son application ne posent aucun problème et font l'objet d'une approbation unanime de la part tant de l'ensemble des autorités chargées de la protection des données que de la Commission.

4.4.2. Articles 6 et 7: Qualité des données et critères de légitimation des traitements

L'analyse des législations nationales montre que la mise en oeuvre de ces dispositions est parfois peu satisfaisante. L'article 6, paragraphe 1, alinéa b), autorise un traitement ultérieur à des fins historiques, statistiques ou scientifiques, mais uniquement si les garanties appropriées ont été prévues. Ces garanties ne le sont pas dans tous les États membres alors que ce type de traitement est généralement autorisé. Certains États membres ont allongé ou raccourci la liste des critères de traitement légitime prévus à l'article 7. Ils devront donc modifier leur législation. La notion de "consentement indubitable" (article 7, alinéa a), doit être clarifiée davantage et interprétée de façon plus uniforme, surtout quand on la compare à la notion de "consentement explicite" dont question à l'article 8. Il est indispensable que les opérateurs sachent ce qu'est un consentement valable, en particulier en cas d'opérations en ligne.

4.4.3. Articles 10 et 11: Information des personnes concernées

La mise en oeuvre des articles 10 et 11 de la directive présente un certain nombre de divergences. Dans une certaine mesure, celles-ci sont le résultat d'une application incorrecte, par exemple une législation qui dispose que des informations supplémentaires doivent toujours être fournies à la personne concernée indépendamment du "test de nécessité" prévu par la directive, mais également d'interprétations et de pratiques différentes par les autorités de contrôle. Certaines contributions mettent en évidence les difficultés que rencontrent les entreprises multinationales opérant à un niveau paneuropéen du fait de l'existence de ces divergences [29].

[29] Voir, par exemple, l'opinion de l'EPOF (European Privacy Officers Forum) à l'adresse suivante: http://europa.eu.int/comm/internal_market/ en/privacy/docs/lawreport/paper/epof_en.pdf ou celle de la Commission pour l'UE de la Chambre de commerce américaine: http://europa.eu.int/comm/internal_market/ en/privacy/docs/lawreport/paper/amcham_en.pdf

4.4.4. Articles 18 et 19: Exigences en matière de notification

De nombreuses contributions insistent sur la nécessité de simplifier et de rapprocher les exigences imposées par les États membres en ce qui concerne la notification des opérations de traitement par les responsables. Si la Commission partage ce point de vue, elle rappelle que la directive offre déjà aux États membres la possibilité de prévoir des dérogations très larges lorsque les risques sont faibles ou lorsque le responsable du traitement a désigné un détaché à la protection des données à caractère personnel. Ces dérogations offrent une souplesse suffisante tout en n'affectant pas le niveau de protection garanti. Il est regrettable que certains États membres ne se soient pas octroyés ces possibilités. Néanmoins, la Commission convient qu'en plus d'un recours accru aux dérogations existantes, une simplification supplémentaire serait utile dans une certaine mesure et devrait être possible sans modification des articles existants.

4.4.5. Articles 25 et 26: la dimension extérieure

Les divergences constatées entre les législations des États membres en ce qui concerne la mise ne oeuvre de ces deux dispositions sont trop importantes; l'approche adoptée par certains États membres dans lesquels l'évaluation du caractère adéquat du niveau de protection offert par le bénéficiaire est réputée être du ressort du responsable du traitement, avec un contrôle très limité des flux de données par l'État ou par l'autorité nationale de contrôle, ne paraît pas satisfaire à l'obligation imposée aux États membres par l'article 25 [30].

[30] "Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel (...) ne peut avoir lieu que si (...) le pays tiers en question assure un niveau de protection adéquat".

L'approche adoptée par certains autres États membres qui subordonnent tous les transferts des pays tiers à une autorisation administrative [31] ne semble pas conforme au chapitre IV de la directive qui vise à garantir à la fois une protection adéquate et des flux de données personnelles vers des pays tiers sans contrainte excessive. Même si les autorisations aux autorités nationales de contrôle peuvent être imposées en vertu de l'article 19, il ne faut pas qu'elles se transforment en autorisations de facto dans les cas où le transfert vers un pays tiers est manifestement autorisé, soit parce que le destinataire procure une protection adéquate telle que constatée dans une décision contraignante de la Commission ou est partie à des clauses contractuelles types approuvées par la Commission, soit parce que le responsable du traitement déclare que le transfert bénéficie d'une des dérogations prévues à l'article 26 de la directive. Si l'autorité chargée de la protection des données peut légitimement imposer la notification de ce transfert [32], il n'est pas nécessaire d'autoriser ces transferts parce qu'ils le sont déjà par la loi communautaire.

[31] Dans plusieurs États membres, les transferts bénéficiant d'une dérogation telle que prévue à l'article 26, paragraphe 1, ou même vers d'autres États membres ou pays tiers déclarés acceptables par la Commission nécessitent une autorisation.

[32] Pour vérifier, par exemple, que le contrat type correspond entièrement avec le modèle approuvé par la Commission ou que le bénéficiaire est effectivement couvert par la décision de conformité.

Une attitude trop laxiste de la part de certains États membres, outre d'être en contradiction avec la directive, risque d'affaiblir le niveau de protection dans l'UE dans son ensemble parce qu'avec la libre circulation garantie par la directive, les flux de données pourraient se diriger vers les points de sortie "les moins contraignants". Par contre, une approche trop stricte ne tiendrait pas compte des besoins légitimes du commerce international et de la réalité des réseaux globaux de télécommunications et risquerait de créer un fossé entre la loi et la pratique, ce qui serait dommageable pour la crédibilité de la directive et de l'ensemble de la législation communautaire.

En réalité, les transferts internationaux constituent un domaine dans lequel les lacunes en matière de mise en application de la directive créent un tel fossé. Les autorités nationales sont supposées notifier à la Commission les transferts qu'elles autorisent en vertu de l'article 26, paragraphe 2, de la directive. Depuis que la directive est entrée en vigueur en 1998, la Commission n'a reçu qu'un nombre très limité de ces notifications. Bien qu'il existe d'autres moyens possibles de transferts légaux que l'article 26, paragraphe 2, le nombre de notifications reçues est dérisoire par rapport à ce que l'on pourrait raisonnablement s'attendre. D'autres informations disponibles allant dans le même sens [33], il semblerait que de nombreux transferts non autorisés et éventuellement illégaux ont lieu vers des destinations ou des destinataires ne garantissant pas une protection adéquate. Cependant, il y a peu ou même aucun signe de mesures prises par les autorités de contrôle.

[33] Le rapport approuvé en mai 2001 par la Conférence de printemps des autorités de protection des données a révélé que la plupart des autorités nationales de contrôle étaient incapables de fournir le nombre d'opérations de traitement impliquant des transferts internationaux de données. Lorsque ces chiffres sont disponibles, ils sont peu significatifs (600 transferts à partir de la France, 1 352 de l'Espagne et 150 du Danemark).

Les transferts qui nécessitent une autorisation et une notification engendrent naturellement des contraintes administratives considérables, tant pour les exportateurs de données que pour les autorités de contrôle. Il est dès lors souhaitable de recourir davantage aux "autorisations en bloc" prévues aux articles 25, paragraphe 6, et 26, paragraphe 4, de la directive. À ce jour, il n'a été produit que quatre constats de niveau adéquat de protection pour des pays tiers (Hongrie, Suisse, Canada et la Base sécurisée américaine [34]) et deux séries de clauses contractuelles types, la première pour les transferts de données à des responsables du traitement dans des pays tiers et l'autre pour les transferts à des organismes de sous-traitement. Il convient de travailler davantage à la simplification des conditions des transferts internationaux.

[34] Il existe également une décision de la Commission en voie de finalisation sur la protection adéquate en Argentine.

5. Le traitement des données constituées par des sons et des images

Pendant les travaux préparatoires à l'élaboration de la directive, plusieurs personnes ont fait part de leur crainte, qu'elle ne soit pas à même de tenir compte des évolutions technologiques futures. L'ampleur de celles-ci n'était pas connue; les préoccupations portaient cependant sur le fait qu'un texte rédigé essentiellement en se basant sur le traitement de texte pourrait poser certaines difficultés quand il serait appliqué au traitement de données constituées par des sons et des images. C'est la raison pour laquelle l'article 33 de la directive contient une disposition spécifique relative à ce type de données.

Pour rédiger la présente analyse, la Commission s'est basée d'une part sur une étude menée par un contractant externe visant à analyser la situation dans les États membres et d'autre part sur des contributions des États membres eux-mêmes et des autorités nationales de contrôle. Les informations collectées montrent que le traitement des données constituées par des sons et des images entre dans le champ d'application de toutes les lois nationales transposant la directive et que l'application de cette dernière à ces types de traitement n'a pas posé de problème particulier jusqu'à présent.

Dans la plupart des États membres, les dispositions (générales) qui s'appliquent au traitement des données constituées par des sons et des images sont identiques à celles qui s'appliquent aux autres données personnelles. Deux États membres seulement (l'Allemagne et le Luxembourg) ont inclus des dispositions spécifiques sur le traitement des sons et des images dans la législation qu'ils ont adoptée pour transposer la directive. Trois États membres (Danemark, Suède et Portugal) ont prévu des dispositions spécifiques sur la vidéo-surveillance dans des lois distinctes. Malgré les doutes émis pendant les négociations de la directive, les États membres sont donc arrivés à la conclusion que l'ambition qu'ils s'étaient fixés d'une directive neutre au plan technologique était atteinte, du moins en ce qui concerne le traitement des données constituées par des sons et des images.

Aucun État membre ni aucun autre contributeur n'a proposé de modification à la directive dans ce domaine. Les propositions conjointes déposées par l'Autriche, la Finlande, la Suède et le Royaume-Uni font part de certaines préoccupations quant à la capacité de la directive à tenir compte de certaines évolutions technologiques mais ne contiennent aucune proposition concrète en rapport direct avec cette question.

Un des ateliers de la conférence sur la mise en oeuvre de la directive était entièrement consacré à cette question. Le sujet principal était la vidéo-surveillance, la matière qui (juste avant la biométrie) a bénéficié jusqu'à présent du plus d'attention de la part des autorités nationales de contrôle. Les participants ont estimé qu'il n'y avait pas eu jusqu'à présent suffisamment de débats publics autour des limites à imposer à l'utilisation de la vidéo-surveillance pour garantir certains droits et libertés dans une société démocratique. Le groupe de travail Article 29 a également consacré beaucoup de temps à cette question et a approuvé un projet de document de travail qui a été publié sur le site web de la Commission consacré à la protection des données, avec invitation aux parties intéressées à faire part de leurs commentaires.

Il y a également un certain nombre de questions juridiques et pratiques qui découlent de la mise en oeuvre de la directive dans les États membres en ce qui concerne les données constituées de sons et d'images et qui soulèvent certaines interrogations de la part des opérateurs appelés à appliquer la législation et des individus souhaitant exercer leurs droits en matière de protection des données.

Il subsiste, par exemple, des interrogations en ce qui concerne les définitions de la directive, notamment quand il s'agit de déterminer dans quelle mesure une image isolée ou une empreinte digitale peut être considérée comme une donnée personnelle lorsque le responsable du traitement ne pourra pas ou très probablement pas identifier un individu, de savoir si un simple contrôle constitue une opération de traitement ou de déterminer la manière d'interpréter raisonnablement le concept de donnée sensible. La Commission reconnaît que des réponses sont données à toutes ces questions dans les législations nationales transposant la directive mais considère qu'il est impératif de fournir davantage d'orientations en la matière. Ces orientations devraient être réalistes et pragmatiques si l'objectif est d'aider à améliorer le respect de la directive et devraient autant que possible être coordonnées entre les États membres. La Commission se réjouit des travaux menés jusqu'à présent par le groupe de travail Article 29 sur cette question et l'encourage à continuer à fournir des orientations utiles sur la base des contributions fournies par les parties intéressées.

6. Programme de travail pour une meilleure mise en application de la directive sur la protection des données (2003-2004)

L'examen de la mise en application de la directive dans les États membres qui fait l'objet du présent rapport a mis en évidence des problèmes qu'il conviendrait de résoudre pour qu'elle puisse produire pleinement les effets escomptés. Le programme de travail qui suit comporte les actions qui seront menées entre l'adoption du présent rapport et la fin 2004; il nécessitera des efforts conjoints de la Commission européenne, des États membres (y compris des pays en voie d'adhésion) et de leurs autorités nationales de contrôle ainsi que, dans certains cas, des représentants des responsables du traitement.

Une préoccupation générale majeure mentionnée plus haut est le fait que le niveau de mise en application, de respect et de connaissance n'apparaît pas acceptable. Dans le cadre d'une action globale liée à l'ensemble des initiatives énumérées ci-après, la Commission travaillera avec les États membres, les autorités de contrôle et les parties intéressées pour déterminer les causes et définir les solutions envisageables à cette série de problèmes.

Actions de la Commission

Action 1 : Discussions avec les États membres et les autorités chargées de la protection des données

Au cours de l'année 2003, les services de la Commission organiseront des réunions bilatérales avec les États membres pour discuter essentiellement des changements à apporter à leur législation nationale pour la rendre intégralement conforme aux exigences de la directive. Sur certains points, la participation des autorités compétentes en matière de protection des données pourrait s'avérer nécessaire. Ces discussions bilatérales pourraient également être l'occasion d'examiner la nécessité de renforcer les mesures visant à mieux faire respecter la directive. Le manque de ressources allouées aux autorités de contrôle devrait également être discuté.

Ces réunions seront complétées par des discussions sur l'application incorrecte de la directive lors de "réunions package" qui sont organisées périodiquement avec les États membres par le Secrétariat général de la Commission et/ou la DG Marché intérieur.

Les discussions qui auront lieu au sein du groupe de travail Article 29 et du comité Article 31 seront l'occasion d'aborder sur une base multilatérale certaines questions qui concernent un grand nombre d'États membres, étant entendu qu'il n'est absolument pas question que ces discussions débouchent sur une modification de facto de la directive. En plus des discussions ad hoc sur des questions spécifiques, la Commission propose que chaque groupe consacre une réunion complète à ce sujet au cours de l'année 2003.

Action 2 : Association des pays candidats aux efforts visant à une mise en application de meilleure qualité et plus uniforme de la directive

Le présent rapport s'est attaché presqu'exclusivement à la situation dans les quinze États membres. Avant que le programme de travail n'arrive à son terme, dix nouveaux États membres auront rejoint l'Union. Des représentants des autorités de contrôle de plusieurs pays candidats participent depuis 2002 aux réunions du groupe de travail Article 29. À partir de la date de la signature des traités d'adhésion, les futurs États membres seront invités à toutes les réunions du groupe de travail et du comité Article 31. Dans toute la mesure du possible, des discussions bilatérales et, éventuellement des évaluations par les pairs continueront d'être menées jusqu'à et après l'adhésion, afin de parvenir au meilleur alignement possible de la législation des nouveaux États membres sur la directive et de réduire au maximum les procédures d'infraction formelles.

Action 3 : Amélioration de la notification de l'ensemble des actes légaux transposant la directive et notifications des autorisations accordées en vertu de l'article 26, paragraphe 2, de la directive

En étroite collaboration avec les autorités chargées de la protection des données et avec les États membres, les services de la Commission continueront à collecter toutes les informations utiles au sujet de la mise en application de la directive, identifieront en particulier les domaines dans lesquels il subsiste des lacunes manifestes au niveau des mesures de mise en oeuvre notifiées et solliciteront la collaboration des États membres pour combler ces lacunes le plus rapidement possible. La Commission facilitera l'échange des meilleures pratiques lorsque cela permettra de faire avancer les choses.

La Commission utilisera les prérogatives formelles que lui confère l'article 226 du traité lorsque cette approche concertée (6.1, 6.2 et 6.3) ne produira pas les résultats escomptés.

Les États membres et leurs autorités de contrôle doivent également mettre en place les mécanismes nécessaires à la notification (ainsi qu'exigé par l'article 26, paragraphe 3 de la directive) des autorisations nationales de transferts internationaux accordées en vertu de l'article 26, paragraphe 2, de la directive. La Commission discutera cette question avec les États membres et leurs autorités de contrôle et veillera à l'échange des meilleures pratiques.

La Commission créera une nouvelle page sur son site web [35] sur laquelle elle stockera, sous une forme structurée, non seulement l'ensemble des informations collectées pour la préparation du présent rapport mais également toutes les informations utiles concernant les travaux à mener dans le cadre du programme de travail. Elle invitera également les autorités nationales de contrôle à lui fournir, en vue de leur ajout sur ce site web, les décisions et recommandations adoptées par les autorités chargées de la protection des données ainsi que les conseils significatifs publiés par elle, en mettant plus particulièrement l'accent sur les domaines pour lesquels une interprétation et une application plus uniformes de la loi sont nécessaires.

[35] www.europa.eu.int/comm/privacy

Contribution du groupe de travail Article 29 [36]

[36] La présente liste ne préjuge en rien du programme de travail général du groupe de travail "Article 29" qui est disponible à l'adresse suivante: http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf

La Commission se félicite des efforts entrepris par le groupe de travail en vue d'arriver à une application plus uniforme de la directive. Elle souhaite rappeler l'importance de la transparence du processus suivi et encourage le groupe de travail pour les efforts qu'il entreprend actuellement en vue d'améliorer la transparence de ses travaux.

Action 4 : Respect de la directive

La Commission souhaiterait que le groupe de travail Article 29 discute périodiquement de la question générale du meilleur respect de la directive. Ces discussions devraient conduire entre autres à l'échange et à l'adoption de meilleures pratiques. Le groupe de travail devrait également envisager de lancer des enquêtes sectorielles au niveau communautaire et de tenter de définir des normes en la matière. L'objectif de ces enquêtes conjointes serait de fournir une vue d'ensemble plus précise de la mise en application des législations en matière de protection des données dans la Communauté ainsi que de formuler des recommandations acceptées et de fournir des conseils pratiques aux secteurs concernés, dans le but d'améliorer le respect de la directive de la manière la moins contraignante possible.

Action 5 : Notification et publicité des opérations de traitement

La Commission européenne partage dans une large mesure les critiques exprimées par les responsables du traitement au cours de l'évaluation concernant les différences dans la teneur des obligations qui leur incombent en matière de notification. La Commission recommande de recourir davantage aux exceptions et, en particulier, à la possibilité offerte à l'article 18, paragraphe 2, de la directive, à savoir de désigner un détaché à la protection des données, solution qui permet de déroger aux obligations en matière de notification.

La Commission invite le groupe de travail Article 29 à contribuer à une mise en application plus uniforme de la directive en formulant des propositions visant à une simplification substantielle des obligations en matière de notification dans les États membres et à l'introduction de mécanismes de coopération facilitant les notifications par les multinationales ayant des établissements dans plusieurs États membres. Il est possible que ces propositions doivent inclure des propositions d'amendements aux législations nationales. La Commission est elle-même disposée à formuler des propositions si le groupe de travail n'est pas à même de le faire dans une période raisonnable (12 mois).

Action 6 : Dispositions davantage harmonisées en matière d'informations

La Commission est également d'avis que les obligations actuelles, caractérisées par leur diversité autant que par leur chevauchement, en matière d'informations que les responsables du traitement doivent fournir aux personnes concernées introduit des contraintes inutiles pour les opérateurs économiques, sans contribuer à améliorer le niveau de protection.

Dans la mesure où les obligations en matière d'informations imposées aux responsables du traitement ne sont pas conformes à la directive, on espère qu'une solution pourra être trouvée rapidement à travers le dialogue avec les États membres et l'adoption par ceux-ci de mesures législatives correctrices. Par ailleurs, la Commission invite le groupe de travail Article 29 à participer à la recherche d'une interprétation plus uniforme de l'article 10.

Action 7 : Simplification des obligations en matière de transferts internationaux

Parallèlement aux discussions visant à introduire les changements nécessaires dans la législation des États membres en vue d'assurer la conformité avec la directive, la Commission prie le groupe de travail Article 29 d'utiliser le dernier rapport du séminaire sur le traitement des plaintes internationales comme base pour les futures discussions dans l'optique d'un rapprochement substantiel des pratiques actuelles des États membres et d'une simplification des conditions des transferts internationaux de données.

La Commission elle-même entend faire un usage plus large des prérogatives que lui confèrent les articles 25, paragraphe 6, et 26, paragraphe 4, qui constituent le meilleur moyen de simplifier le cadre réglementaire pour les opérateurs économiques tout en offrant un niveau de protection adéquat pour les données transférées à l'extérieur de l'UE.

En coopération avec le groupe de travail Article 29 et avec le comité Article 31, la Commission espère réaliser des progrès dans les quatre domaines suivants:

a) une utilisation plus large des constats de niveau de protection adéquats en ce qui concerne les pays tiers conformément à l'article 26, paragraphe 6, tout en conservant naturellement une approche uniforme vis-à-vis des pays tiers conforme aux obligations de l'UE dans le cadre de l'OMC;

b) de nouvelles décisions sur la base de l'article 26, paragraphe 4, de sorte que les opérateurs économiques disposent d'un choix plus vaste de clauses contractuelles types, dans toute la mesure du possible basées sur des clauses soumises par des organismes représentatifs des entreprises comme, par exemple, celles transmises par la Chambre de commerce internationale et d'autres fédérations d'entreprises;

c) le rôle des règles contraignantes d'entreprises (règles qui lient des groupes d'entreprises établies dans plusieurs juridictions différentes, tant à l'intérieur qu'à l'extérieur de l'UE) dans la fourniture des garanties adéquates pour les transferts de données personnelles à l'intérieur des groupes;

d) une interprétation plus uniforme de l'article 26, paragraphe 1, de la directive (dérogations permises à l'obligation de niveau de protection adéquat pour les transferts vers les pays tiers) et de ses dispositions nationales d'application.

L'ensemble de ces travaux devraient être menés dans un cadre offrant un degré de transparence approprié et sur la base de contributions fournies périodiquement par les parties intéressées.

Autres initiatives

Action 8 : Promotion des technologies renforçant la protection de la vie privée

La Commission travaille déjà dans le domaine des technologies renforçant la protection de la vie privée, notamment au niveau de la recherche comme, par exemple, les projets RAPID [37] et PISA [38].

[37] "Roadmap for Advanced Research in Privacy and Identity Management".

[38] "Privacy-Enhancing Intelligent Software Agents".

Elle propose d'organiser en 2003 un séminaire technique dans le but d'accroître le niveau de sensibilisation aux technologies permettant de renforcer la protection de la vie privée et de donner la possibilité de discuter en profondeur les mesures qui pourraient être prises pour promouvoir le développement et l'utilisation de ces technologies comme, par exemple, le rôle que les labels de qualité, systèmes de certification ou évaluations d'impact sur la vie privée (EIVP) [39] pourraient jouer en Europe.

[39] Évaluation d'impact sur la vie privée.

Elle invite le groupe de travail à poursuivre les discussions sur la question des technologies permettant de renforcer la protection de la vie privée et de réfléchir sur les mesures que les autorités nationales de contrôle pourraient prendre pour promouvoir l'utilisation de ces technologies au niveau national.

Après ce séminaire technique et en tenant compte des contributions reçues, la Commission élaborera de nouvelles propositions pour la promotion des technologies permettant de renforcer la protection de la vie privée au niveau européen. Ces propositions tiendront plus particulièrement compte de la nécessité d'encourager les gouvernements et les institutions du secteur public à donner le bon exemple en utilisant ces technologies dans leurs propres opérations de traitement, par exemple dans leurs applications d'e-gouvernements.

Action 9 : Promotion de l'auto-réglementation et des codes de conduite européens

La Commission est déçue que si peu d'organisations soient venues avec des codes de conduite sectoriels pouvant être appliqués au niveau communautaire. Elle continuera à encourager et (dans les limites des ressources disponibles) à donner son avis sur les projets de codes de conduite soumis pour examen par le groupe de travail Article 29 [40]. Elle encourage les différents secteurs et groupes d'intérêts à jouer un rôle plus proactif car elle est convaincue que l'auto-réglementation et, en particulier, les codes de conduite, peuvent jouer un rôle important dans le développement futur de la protection des données au sein de l'UE et en dehors de celle-ci, notamment pour éviter l'adoption de législations excessivement détaillées.

[40] Pour l'heure, le groupe de travail Article 29 examine les différentes propositions suivantes: un Code de conduite pour le marketing direct émanant de la FEDMA; un Code de conduite sur le traitement des données à caractère personnel par les bureaux de recherche de cadres (chasseurs de têtes) soumis par l'AESC et un Code de conduite pour l'identification paneuropéenne des lignes appelantes déposé par l'ETP. Une requête précédente de l'IATA ne remplissait pas les conditions imposées aux codes de conduite en vertu de l'article 27 de la directive mais a reçu un commentaire positif de la part du groupe de travail Article 29 dans son avis WP 49 adopté le 13 septembre 2001. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf

Dans la même optique, la Commission a indiqué dans son document de consultation adressé aux partenaires sociaux européens relatif à la protection des données personnelles dans le contexte de l'emploi, qu'elle souhaitait vivement que ceux-ci entament des négociations afin de conclure un accord européen dans ce domaine. La Commission regrette que les partenaires sociaux n'aient pas accepté de négocier sur cette question et espère que la possibilité de conclure des conventions collectives dans ce domaine continuera d'être envisagée.

Action 10 : Sensibilisation

La Commission a l'intention de lancer un sondage Eurobaromètre reprenant les questions contenues dans la consultation en ligne menée en 2002. Elle espère que certaines autorités chargées de la protection des données seront associées à ce projet et que des efforts seront menés conjointement pour faire de la protection des données un sujet de débat public. Elle encourage les États membres à consacrer davantage de ressources à la sensibilisation, en particulier par le biais des budgets des autorités nationales de contrôle.

7. Conclusions

Le présent rapport constitue une première étape de l'analyse des informations concernant la mise en oeuvre de la directive 95/46/CE et de l'identification des actions nécessaires pour résoudre les principaux problèmes qui sont apparus. La Commission espère que cette analyse aidera les gouvernements, les autorités chargées de la protection des données et les opérateurs à clarifier ce qu'il convient de faire pour améliorer l'application de la directive dans l'UE, en en améliorant la mise en oeuvre, en en accentuant le respect et en sensibilisant davantage les personnes concernées et les responsables du traitement à leurs droits et obligations.

La Commission espère que, lorsque cela est nécessaire, les États membres modifieront leur législation pour se conformer aux dispositions de la directive et alloueront des ressources suffisantes aux autorités de contrôle. La Commission attend également que les États membres et les autorités de contrôle entreprennent tout ce qui doit raisonnablement l'être pour créer un environnement au sein duquel les responsables du traitement - en particulier ceux opérant à un niveau paneuropéen et/ou international - pourront se conformer à leurs obligations de façon moins compliquée et moins contraignante et pour éviter d'imposer des exigences qui pourraient être abandonnées sans que cela n'ait aucun effet néfaste sur le haut niveau de protection garanti par la directive.

La Commission encourage les citoyens à faire usage des droits que leur confère la législation et les responsables du traitement à prendre toutes les mesures requises pour respecter cette législation. La Commission suivra de près les nouveaux développements technologiques et les résultats du programme de travail proposé dans le présent rapport et formulera d'ici à la fin 2004 des propositions de suivi supplémentaire, date à laquelle tant la Commission que les États membres bénéficieront d'une expérience sensiblement plus étendue qu'actuellement en ce qui concerne la mise en application de la directive.

Top