Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52007XX0426(03)

Avis du contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil fixant les modalités d'application du règlement (CE) n o 883/2004 portant sur la coordination des systèmes de sécurité sociale (COM (2006) 16 final)

OJ C 91, 26.4.2007, p. 15–23 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, RO, SK, SL, FI, SV)

No longer in force, Date of end of validity: 16/09/2009

26.4.2007   

FR

Journal officiel de l'Union européenne

C 91/15


Avis du contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil fixant les modalités d'application du règlement (CE) no 883/2004 portant sur la coordination des systèmes de sécurité sociale (COM (2006) 16 final)

(2007/C 91/03)

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la Charte des droits fondamentaux de l'Union européenne, et notamment son article 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 41,

vu la demande d'avis formulée par la Commission européenne conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, reçue le 7 décembre 2006,

A ADOPTÉ L'AVIS SUIVANT:

I.   INTRODUCTION

Consultation du CEPD

1.

Conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, la Commission a adressé au CEPD, pour consultation, la proposition de règlement du Parlement européen et du Conseil fixant les modalités d'application du règlement (CE) no 883/2004 du Parlement européen et du Conseil du 29 avril 2004 portant sur la coordination des systèmes de sécurité sociale (3) (ci-après dénommée «la proposition»). Le CEPD estime que le présent avis devrait être mentionné dans le préambule du règlement.

2.

La consultation formelle par la Commission intervient à la suite des contacts qui ont eu lieu entre le secrétariat du CEPD et la DG compétente (DG EMPL) de la Commission, dans le cadre de l'établissement de l'inventaire du CEPD pour 2007 (4). En effet, il s'agit d'une des propositions à l'ordre du jour de la DG EMPL qui présentent un grand intérêt pour le CEPD. Par ailleurs, celui-ci a participé à une audition organisée par le Parlement européen le 23 novembre 2006, et y a formulé quelques observations préliminaires. Dans ces conditions, le CEPD juge cette consultation opportune et espère être consulté en temps utile à l'avenir à propos d'autres propositions de la Commission liées à la protection des données à caractère personnel dans les domaines de la sécurité sociale et de l'emploi, en particulier celles qui figurent dans son inventaire.

La proposition dans son contexte

3.

La proposition établit les modalités d'application du règlement (CE) no 883/2004 du Parlement européen et du Conseil du 29 avril 2004 portant sur la coordination des systèmes de sécurité sociale. Les nouvelles règles de coordination énoncées dans ce règlement ne peuvent effectivement pas être appliquées tant que l'actuelle proposition, qui en fixe les modalités d'application, n'a pas été adoptée (5). La proposition sera par conséquent analysée à la lumière du règlement de base sur lequel elle se fonde. À cet égard, il convient de noter également que le CEPD n'a pas rendu d'avis sur le règlement (CE) no 883/2004, étant donné que la proposition correspondante de la Commission a été adoptée le 12 février 1999 (6), avant l'entrée en vigueur du règlement (CE) no 45/2001.

4.

La proposition vise à moderniser et à simplifier les règles existantes en renforçant la coopération entre les institutions de sécurité sociale et en améliorant les méthodes d'échange des données entre ces institutions.

5.

La proposition a un large champ d'application, tant pour ce qui est des citoyens concernés que pour ce qui est des domaines couverts. D'une part, elle couvre tous les citoyens de l'UE assurés en vertu de la législation nationale (y compris les non-actifs), à condition qu'il existe des éléments transfrontières. D'autre part, elle s'applique à toute une série de branches de la sécurité sociale: les prestations de maladies, de maternité et de paternité assimilées, les pensions d'invalidité, de vieillesse, et de survie, les prestations liées aux accidents du travail et aux maladies professionnelles, les allocations de décès, les allocations de chômage, les pensions de retraite anticipée, les prestations familiales.

6.

Le CEPD salue cette proposition dans la mesure où elle vise à favoriser la libre circulation des citoyens et à améliorer le niveau de vie et les conditions d'emploi des citoyens européens qui se déplacent à l'intérieur de l'Union.

7.

Les dispositions relatives à l'échange de données à caractère personnel entre les administrations nationales compétentes en matière de sécurité sociale constituent l'essentiel de la proposition. La sécurité sociale ne pourrait d'ailleurs pas exister sans le traitement de différents types de données à caractère personnel, souvent de nature sensible. En outre, l'échange entre différents États membres de données à caractère personnel liées à la sécurité sociale est une conséquence logique d'une Union européenne où les citoyens exercent de plus en plus leur droit à la libre circulation.

8.

Il est cependant tout aussi essentiel que cet échange accru de données à caractère personnel entre les administrations nationales des États membres, qui améliore les conditions de la libre circulation des personnes, assure également un niveau élevé de protection de ces données, garantissant ainsi l'un des droits fondamentaux de l'UE. Dans ce contexte, le CEPD constate avec satisfaction que le Comité économique et social européen (CESE) a également souligné, dans l'avis qu'il a rendu sur la proposition le 26 octobre 2006, la nécessité d'assurer une protection adéquate des données à caractère personnel, particulièrement au vu de la nature parfois sensible de ces données (7).

Objet principal de l'avis

9.

Le CEPD a été consulté au sujet de la proposition de règlement d'application. Cependant, comme il a été mentionné plus haut, ce règlement d'application ne peut être évalué indépendamment du règlement (CE) no 883/2004, qui établit le principe de base de la coordination des systèmes de sécurité sociale, y compris en ce qui concerne la protection des données à caractère personnel. Le CEPD tiendra donc compte dans son avis du cadre établi par ce règlement. Il se concentrera néanmoins sur les questions pour lesquelles le législateur du règlement d'application dispose encore d'une certaine marge de manœuvre.

10.

Le CEPD note par ailleurs que la proposition, outre qu'elle couvre un large champ d'application, est également très complexe puisqu'elle contient des dispositions détaillées, parfois techniques, concernant les mécanismes, situations et limitations d'ordres divers qui interviennent dans la coordination des systèmes de sécurité sociale. Dans son analyse de la proposition, le CEPD n'abordera donc pas les dispositions une à une, mais il adoptera une approche horizontale, et s'intéressera aux principes de protection des données qui sont particulièrement importants pour cette proposition.

11.

Avec une telle approche, le présent avis vise à assurer non seulement le respect de la législation en matière de protection des données, mais également l'efficacité des mesures proposées, en anticipant les questions qui pourraient se poser au moment de la mise en œuvre dans les systèmes juridiques nationaux et en y répondant. Dans le présent avis, le CEPD commencera par définir le cadre juridique applicable en matière de protection des données avant de traiter de l'application à la proposition des principes pertinents en matière de protection des données. Dans la dernière partie, il exposera ses principales conclusions et recommandations.

II.   CADRE JURIDIQUE APPLICABLE EN MATIÈRE DE PROTECTION DES DONNÉES

12.

Dans le contexte de cette proposition, les données à caractère personnel des personnes assurées seront en général traitées par les autorités nationales compétentes, et relèveront donc du champ d'application de la législation nationale mettant en œuvre la directive 95/46/CE (ci-après dénommée «la directive»). Dans les cas plus rares où les données à caractère personnel des personnes assurées seront traitées par des institutions communautaires, ces données relèveront du règlement (CE) no 45/2001 (8). Ce serait le cas, par exemple, lors du traitement de données à caractère personnel concernant le personnel de l'UE (9). Le cadre juridique actuel en matière de protection des données offre donc un niveau de protection harmonisé dans l'ensemble de l'UE.

13.

La proposition à l'examen s'appuiera sur ce cadre harmonisé. Les législations nationales mettant en œuvre la directive ne sont cependant pas totalement uniformes et il peut subsister des divergences entre les législations nationales en la matière. Il est donc particulièrement important que le législateur tienne compte de cet état de fait, afin de garantir que les mesures proposées respectent pleinement ce cadre et s'adaptent aux différences éventuelles.

14.

De plus, l'augmentation des échanges de données transfrontières nécessitera une meilleure coordination des dispositions nationales relatives à la protection des données à caractère personnel. À cet égard, le CEPD se félicite de l'article 77 du règlement (CE) no 883/2004, qui prévoit explicitement que les données à caractère personnel traitées en vertu du règlement et de son règlement d'application sont transmises dans le respect des dispositions communautaires en matière de protection des données à caractère personnel.

15.

L'article 77 du règlement (CE) no 883/2004 donne également des orientations quant au droit national applicable en matière de protection des données en cas de transmission de données entre autorités compétentes de différents États membres, et précise que la communication de données à caractère personnel d'un État membre à un autre est soumise à la législation en matière de protection des données de l'État membre qui transmet ces données. Par contre, toute communication par l'État membre qui a reçu ces données, ainsi que le stockage, la modification et la destruction des données reçues sont soumis à la législation en matière de protection des données de l'État membre qui les reçoit. Cette disposition est conforme à la disposition relative au droit national applicable figurant à l'article 4 de la directive.

16.

Dans la proposition, il est fait mention des dispositions communautaires relatives à la protection des données à caractère personnel dans le considérant 3 et à l'article 3, paragraphe 2. Alors que le considérant 3 indique globalement que les personnes concernées doivent bénéficier de toutes les garanties prévues par les dispositions communautaires relatives à la protection des données à caractère personnel, l'article 3, paragraphe 2, mentionne spécifiquement l'exercice des droits d'accès et de rectification des données à caractère personnel par les personnes concernées.

17.

Le CEPD convient de la nécessité — pour un instrument juridique mettant en œuvre un traitement et une transmission accrus de données à caractère personnel — de rappeler de manière claire et explicite le cadre applicable en matière de protection des données. Dans cette perspective, il recommande qu'une référence générale aux dispositions communautaires en matière de protection des données à caractère personnel figure non seulement dans les considérants, mais aussi, de manière explicite, dans le dispositif (par exemple à l'article 3). Cette disposition générale n'exclurait pas que d'autres dispositions, telles celles prévues actuellement à l'article 3, paragraphe 2, puissent aborder d'autres questions plus précises liées à l'application concrète des principes relatifs à la protection des données dans le cadre de la coordination des systèmes de sécurité sociale (voir plus loin, points 36 à 38).

III.   APPLICATION DES PRINCIPES PERTINENTS EN MATIÈRE DE PROTECTION DES DONNÉES

Limitation de la finalité

18.

Un des principes de base du droit relatif à la protection des données est que les données à caractère personnel ne sont traitées qu'aux fins pour lesquelles elles ont été collectées ou à des fins compatibles (article 6, paragraphe 1, point b), de la directive). La proposition ne prévoit pas de disposition générale sur la limitation de la finalité (10). Toutefois, l'optique générale de la proposition veut que les données à caractère personnel collectées pour l'une des fins liées à la sécurité sociale (pension, allocations d'invalidité, de chômage, etc.) seront traitées et transmises aux autorités d'autres États membres pour la même finalité. La plupart des opérations de traitement prévues par la proposition concerneront donc des données à caractère personnel traitées en vue de la même finalité ou d'une finalité compatible. Ce sera également le cas pour le traitement de données à caractère personnel dans le cadre de la transmission de données à des fins de recouvrement de créances ou d'allocations indûment perçues (article 73).

19.

Cependant, dans d'autres circonstances, telles que la coopération entre les administrations fiscales (considérant 14), les données relatives à la sécurité sociale pourraient être nécessaires également à des fins autres que la sécurité sociale. Dans ce cas, des exceptions au principe de limitation de la finalité pourraient être justifiées en vertu de l'article 13 de la directive, dans des conditions particulières et pour autant qu'elles soient nécessaires et qu'elles se fondent sur des mesures législatives au niveau national ou communautaire. Dans ce contexte, le législateur pourrait examiner s'il y a lieu, dans la proposition, de préciser plus particulièrement à quelles conditions les données relatives à la sécurité sociale pourront être traitées pour des finalités différentes.

20.

Au vu de ce qui précède, le CEPD estime que la proposition respecte les dispositions fondamentales en matière de protection des données pour ce qui est de la limitation de la finalité. Il note en outre que l'interdiction d'utiliser des données à caractère personnel à des fins autres que la sécurité sociale découle de la législation applicable en matière de protection des données, qui n'autoriserait des exceptions à ce principe général qu'à des conditions strictes et précises.

Proportionnalité en matière de données traitées, d'entités compétentes et de périodes de conservation

21.

Conformément aux principes en matière de protection des données, les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement (article 6, paragraphe 1, point c), de la directive). Pour les systèmes de sécurité sociale, cela signifie que seul un ensemble de données nécessaire et proportionné est transmis dans chaque cas.

22.

Ce principe est à juste titre inscrit à l'article 2, paragraphe 1, de la proposition, en vertu duquel les institutions des États membres sont tenues de se communiquer toutes les données nécessaires à l'établissement et la détermination des droits et des obligations des personnes assurées. À cet égard, le CEPD souligne que l'appréciation des données à caractère personnel qui sont nécessaires peut quelque peu varier en fonction du type de prestation concerné. Par exemple, les informations personnelles requises pour les prestations de maladie ne sont pas les mêmes que pour les pensions de vieillesse. Les informations transmises par les administrations des États membres ne devraient pas excéder ce qui est nécessaire pour garantir, dans chaque cas particulier, les droits ou les obligations de la personne assurée.

23.

Il conviendrait également d'appliquer le principe de proportionnalité au nombre d'entités compétentes ayant accès aux données ainsi qu'aux modalités et à la durée de conservation des données à caractère personnel. Seules les autorités et institutions compétentes ont accès aux données liées à la sécurité sociale et ces données sont conservées — sous une forme permettant l'identification des personnes concernées — pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées (article 6, paragraphe 1, point e), de la directive).

24.

En ce qui concerne le nombre d'administrations et d'institutions ayant accès aux données à caractère personnel des personnes assurées, l'article 83 de la proposition prévoit la création d'une base de données accessible au public qui rassemble les informations concernant les entités compétentes dans chaque État membre. Il convient de noter également que la proposition permet aux États membres de décider si la transmission des données à caractère personnel s'effectue par l'intermédiaire d'un point central d'accès dans un État membre ou directement entre les autorités ou les institutions concernées (article 2, paragraphe 3). En outre, il se pourrait qu'il y ait de nombreuses entités désignées dans chaque État membre, et que certaines d'entre elles opèrent à un niveau régional.

25.

Pour ce qui est de la période de conservation des données à caractère personnel, le CEPD note que, dans le cadre de la sécurité sociale, le critère de proportionnalité peut amener à des conclusions très différentes, selon la branche concernée. Par exemple, le traitement de données à caractère personnel pour les prestations de maladie sera en général nécessaire pour une période plus courte que dans le cas des pensions, qui sont des prestations susceptibles d'être fournies sur une plus longue durée. La période de conservation des données à caractère personnel devrait aussi dépendre du type d'entité chargée de leur traitement. Par exemple, dans le cas de points d'accès centraux, cela signifierait que les données à caractère personnel seraient détruites dès qu'elles auraient été transmises à l'entité compétente. Quoi qu'il en soit, il devrait être clair que les données à caractère personnel sont détruites ou rendues anonymes dès qu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées ou traitées.

26.

Au vu de ce qui précède, le CEPD souligne que dans un système aussi complexe, où les données à caractère personnel sont traitées puis transmises par le biais d'un réseau d'entités asymétrique, il convient de veiller tout particulièrement à ce que ces données soient traitées par les autorités compétentes, durant une période proportionnée, et que les dédoublements de bases de données soient évités. Il est d'avis que la base de données prévue à l'article 83 contribuera à garantir que les données à caractère personnel nécessaires ne seront transmises qu'aux seules autorités compétentes dans chaque cas particulier. Des précisions supplémentaires concernant les modalités de transmission et de conservation des données pourraient toutefois être ajoutées à la proposition actuelle, comme la Commission l'a déjà fait pour d'autres propositions (11). Dans ce contexte, le CEPD estime qu'une certaine harmonisation des périodes de conservation permettrait non seulement de protéger le droit des citoyens à la protection des données à caractère personnel, mais également d'augmenter l'efficacité de la coordination entre les administrations nationales des différents États membres.

Fondement juridique du traitement des données à caractère personnel

27.

La proposition établit une série de mécanismes selon lesquels les données à caractère personnel relatives aux personnes assurées sont transférées entre les entités compétentes de différents États membres. Ces échanges de données se répartissent en deux grandes catégories: les échanges effectués sur demande de la personne concernée et ceux qui sont effectués ex officio, généralement entre tierces parties (entités compétentes, employeurs), sans demande particulière de la personne concernée. Dans bien des cas, les entités concernées seront amenées à traiter et à transmettre des données sensibles, en particulier des données relatives à la santé.

28.

Toutes ces opérations de traitement respectent les conditions fixées par la directive pour le traitement des données à caractère personnel: les entités nationales compétentes et les employeurs ne peuvent effectuer le traitement de données à caractère personnel que si la personne concernée a donné son consentement ou pour tout autre motif légitime, tel le respect d'une obligation légale ou l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique (article 7, points a), c) et e), de la directive). Des conditions plus strictes s'appliquent aux données sensibles, à savoir les données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données relatives à la santé et à la vie sexuelle (article 8 de la directive).

29.

Dans ce contexte, le CEPD souligne que les dispositions de la proposition pourraient être envisagées comme établissant une obligation légale — conformément à l'article 7, point c), de la directive — de traiter et de transmettre des données liées à la sécurité sociale, dans la mesure où cette obligation est explicite. C'est pourquoi, dans les cas précis où la proposition prévoit une obligation claire de traiter des données à caractère personnel, le traitement effectué par les entités nationales compétentes et les employeurs pourrait se fonder sur l'article 7, point c), de la directive. Par contre, lorsqu'aucune obligation légale de ce type n'est directement prévue par la proposition, le traitement de données à caractère personnel s'appuie sur une obligation légale nationale particulière (non harmonisée), ou sur un fondement juridique différent.

30.

L'article 7, point e), de la directive autorise le traitement de données à caractère personnel lorsque celui-ci est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées. Tel serait le cas lorsque l'entité compétente effectue le traitement de données en se fondant sur sa mission ou sur une autorité officielle découlant d'une disposition juridique générale — nationale ou communautaire — plutôt qu'en se fondant sur une obligation légale particulière. Dans ce cas, le droit d'opposition s'applique conformément à l'article 14, point a), de la directive.

31.

Le recours au consentement comme fondement juridique, conformément à l'article 7, point a), de la directive, a un champ d'application plus limité en ce qui concerne le traitement de données à caractère personnel effectué par des administrations publiques ou dans le cadre de relations de travail, dès lors que le consentement ne peut être considéré comme libre — au sens de l'article 2, point h), de la directive — que si la personne concernée dispose d'autres solutions acceptables.

32.

Des observations similaires à celles qui figurent aux points précédents s'appliquent au traitement des données sensibles (article 8 de la directive). Le CEPD est d'avis que les obligations découlant du droit du travail (article 8, paragraphe 2, point b), de la directive), d'autres dérogations (article 8, paragraphe 4), ou du consentement (article 8, paragraphe 2, point a) pourraient constituer des fondements juridiques pertinents pour le traitement de données sensibles liées à la sécurité sociale. Dans ce cas, des mesures de sauvegarde particulières, par exemple des mesures techniques de cloisonnement, pourraient s'avérer nécessaires.

33.

Au vu de ce qui précède, le CEPD fait remarquer que plus la proposition sera claire quant aux obligations légales explicites pour les entités compétentes et les employeurs en matière de traitement des données à caractère personnel, plus sa mise en œuvre dans les États membres sera facile et efficace en ce qui concerne le respect de la législation nationale relative à la protection des données découlant de la directive. C'est pourquoi, sans entrer dans les détails des divers mécanismes particuliers définis par la proposition, le CEPD recommande au législateur européen de veiller à ce que chacun des mécanismes proposés pour le traitement et la transmission de données à caractère personnel se fonde clairement sur une obligation légale spécifique directement établie par la proposition ou sur d'autres motifs légitimes de traitement en vertu des articles 7 et 8 de la directive.

Informations communiquées aux personnes assurées

34.

La section IV de la directive 95/46/CE précise qu'il est essentiel que les personnes concernées soient correctement informées au sujet du traitement de données à caractère personnel les concernant et de leurs droits. Cela est d'autant plus important lorsque des données à caractère personnel sont traitées par de nombreuses administrations dans différents États membres, et que, de ce fait, les personnes concernées pourraient ne plus savoir qui effectue le traitement des données les concernant, pour quelles finalités, ni comment faire respecter leurs droits.

35.

Sur ce point, le CEPD plaide résolument pour que l'on agisse de manière proactive en informant les personnes concernées de manière complète et en temps utile afin de leur préciser l'utilisation qui est faite des informations collectées et des droits dont elles disposent. À cet égard, non seulement le CEPD appuie la demande du CESE (12) visant à sensibiliser tous les utilisateurs potentiels du règlement, mais il appelle également le législateur à ajouter dans la proposition une référence explicite à la nécessité de communiquer aux personnes concernées des informations précises et appropriées sur le traitement des données personnelles qui les concernent. Cela pourrait se faire en modifiant l'article 19 (Information des personnes assurées) pour garantir que l'information nécessaire parvienne aux personnes assurées.

Les droits des personnes concernées

36.

Les droits des personnes concernées sont particulièrement importants dans le cadre des systèmes de sécurité sociale: elles ont ainsi un droit de regard sur les données (sensibles) qui les concernent, peuvent en garantir l'exactitude et vérifier les informations sur lesquelles se fondent des décisions importantes et l'octroi de prestations. Cela revêt une importance particulière pour les opérations transfrontalières, où la marge d'erreur dans la transmission de données à caractère personnel risque d'être plus grande puisqu'il faut traduire les informations. Il convient également de relever que la fiabilité accrue des informations, qui résulte de l'exercice des droits des personnes concernées, profite non seulement à ces personnes mais également aux entités chargées des questions de sécurité sociale.

37.

Le CEPD se félicite de l'article 3, paragraphe 2, de la proposition, qui dispose que les États membres garantissent aux personnes concernées un droit d'accès et de rectification des données à caractère personnel, dans le respect des dispositions communautaires en la matière. Cependant, il suggère de compléter cette disposition en y ajoutant une référence plus large à l'ensemble des droits des personnes concernées, y compris le droit d'opposition (article 14 de la directive 95/46/CE) et les mesures de sauvegarde dans le cadre de décisions individuelles automatisées (article 15 de la même directive).

38.

En outre, le CEPD recommande que la proposition tienne dûment compte de la nécessité de faciliter l'exercice effectif des droits des personnes concernées dans un contexte transfrontières. En effet, les personnes concernées devront faire valoir leurs droits dans une situation où les données personnelles les concernant proviennent de différentes administrations de deux ou plusieurs pays. C'est pourquoi il serait souhaitable que, en pareils cas, les droits des personnes concernées puissent également être exercés directement par le biais de l'autorité compétente qui reçoit les données à caractère personnel transmises par d'autres États membres. Cela signifierait que l'autorité compétente qui est en contact direct avec la personne assurée devrait servir de guichet unique non seulement en ce qui concerne les prestations de sécurité sociale, mais aussi pour toutes les données à caractère personnel traitées en relation avec ces prestations. La personne assurée pourrait dès lors exercer ses droits de personne concernée par l'intermédiaire de l'autorité compétente, indépendamment de l'origine des données. Le CEPD invite donc le législateur à étudier cette possibilité, notamment à la lumière des exemples déjà apportés dans d'autres propositions de la Commission (13).

Mesures de sécurité

39.

Dans la proposition, la sécurité du traitement des données est particulièrement importante compte tenu de l'utilisation plus étendue de l'électronique par les administrations de différents États membres. Par ailleurs, il s'agira, dans la plupart des cas, de transmettre des données sensibles, et comme le CESE l'a déjà fait remarquer, il est d'autant plus important de «faire en sorte que ces données bénéficient d'une protection adéquate et d'éviter qu'elles ne tombent dans de mauvaises mains» (14).

40.

À cet égard, le CEPD se félicite de l'article 4 de la proposition, qui établit que la transmission de données entre entités compétentes «s'effectue par voie électronique, dans un cadre sécurisé commun capable de garantir la confidentialité et la protection des échanges de données». Le CEPD souligne cependant que ce «cadre sécurisé commun», qui doit être défini par la commission administrative pour la coordination des systèmes de sécurité sociale (15), devrait tenir dûment compte des recommandations formulées dans le cadre du programme IDABC (16) (fourniture interopérable de services paneuropéens d'administration en ligne aux administrations publiques, aux entreprises et aux citoyens) relatives aux dispositions communautaires en matière de protection des données, et en particulier celles qui portent sur la sécurité des traitements (article 17 de la directive). Dans cette perspective, le CEPD recommande également que des experts en matière de protection et de sécurité des données soient associés comme il se doit aux travaux de la commission administrative.

IV.   CONCLUSIONS ET RECOMMANDATIONS

41.

Le CEPD accueille favorablement cette proposition dans la mesure où elle vise à favoriser la libre circulation des citoyens et à améliorer le niveau de vie et les conditions d'emploi des citoyens de l'UE qui se déplacent à l'intérieur de l'Union. La coordination des systèmes de sécurité sociale serait d'ailleurs impossible sans le traitement et la transmission de différents types de données à caractère personnel, souvent de nature sensible.

42.

Il est toutefois tout aussi essentiel que cet échange accru de données à caractère personnel entre les administrations nationales des États membres, qui améliore les conditions de la libre circulation des personnes, assure également un niveau élevé de protection de ces données, garantissant ainsi l'un des droits fondamentaux de l'UE.

43.

La proposition s'appuiera sur le cadre harmonisé en matière de protection des données instauré par les dispositions communautaires sur la protection des données à caractère personnel, et en particulier par la directive 95/46/CE et les dispositions législatives nationales prises pour la mettre en œuvre. Le CEPD constate avec satisfaction que tant le règlement de base no 883/2004 que la proposition rappellent que c'est ce cadre de protection des données qui est applicable. Toutefois, des questions précises liées à l'application des principes de protection des données dans le cadre de la coordination des systèmes de sécurité sociale devraient être spécialement approfondies.

44.

En ce qui concerne le principe de limitation de la finalité, le CEPD estime que la proposition respecte les dispositions fondamentales en matière de protection des données relatives à cette limitation. En outre, il note que l'interdiction d'utiliser des données à caractère personnel à des fins autres que la sécurité sociale n'est pas explicitement établie dans la proposition, mais qu'elle découle de la législation applicable en matière de protection des données, ce qui permettrait qu'il ne soit dérogé à ce principe général que dans des cas particuliers et à des conditions strictement définies. Dans ce contexte, le législateur pourrait envisager de préciser explicitement, dans la proposition, à quelles conditions les données de sécurité sociale peuvent être traitées à des fins différentes.

45.

Pour ce qui est de la proportionnalité en matière de données traitées, d'entités compétentes et de périodes de conservation, le CEPD souligne que dans un système aussi complexe, où les données à caractère personnel sont traitées puis transmises par le biais d'un réseau d'entités asymétrique, il convient de veiller tout particulièrement à ce que ces données soient traitées par les autorités compétentes, pendant une période proportionnée, et que les dédoublements de bases de données soient évités. Dans ce contexte, la proposition pourrait être plus précise quant aux modalités de transmission et de conservation des données.

46.

Pour ce qui est des fondements juridiques du traitement des données à caractère personnel, le CEPD, sans entrer dans les détails des divers mécanismes particuliers définis par la proposition, recommande au législateur européen de veiller à ce que chacun des mécanismes proposés pour le traitement et la transmission des données à caractère personnel se fonde clairement sur une obligation légale spécifique directement établie par la proposition ou sur d'autres motifs légitimes de traitement en vertu des articles 7 et 8 de la directive.

47.

En ce qui concerne les informations communiquées aux personnes assurées, le CEPD recommande d'ajouter dans la proposition une référence explicite à la nécessité de communiquer aux personnes concernées des informations précises et appropriées sur le traitement des données à caractère personnel qui les concernent.

48.

Pour ce qui est des droits des personnes concernées, le CEPD se félicite de l'article 3, paragraphe 2, de la proposition et suggère de compléter cette disposition en y ajoutant une référence plus large à l'ensemble des droits des personnes concernées, y compris le droit d'opposition et les mesures de sauvegarde dans le cadre des décisions individuelles automatisées. En outre, le CEPD invite le législateur à faciliter l'exercice effectif des droits des personnes concernées dans un contexte transfrontières en précisant que l'autorité compétente qui est en contact direct avec la personne assurée devrait servir de guichet unique non seulement en ce qui concerne les prestations de sécurité sociale, mais aussi pour toutes les données traitées en relation avec ces prestations.

49.

En ce qui concerne les mesures de sécurité, le CEPD recommande que le «cadre sécurisé commun »pour la transmission des données, établi à l'article 4 de la proposition, tienne dûment compte des recommandations relatives à la protection des données et à la sécurité des traitements. Dans ce contexte, des experts en matière de protection et de sécurité des données devraient être associés comme il se doit aux travaux de la commission administrative compétente.

Fait à Bruxelles, le 6 mars 2007.

Peter HUSTINX

Contrôleur européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  JO L 166 du 30.4.2004, p. 1.

(4)  Chaque année, en décembre, le CEPD publie un inventaire de ses priorités pour l'année à venir en matière de consultation. Cet inventaire recense les propositions de la Commission les plus indiquées en vue d'une réaction formelle du CEPD. Les propositions qui devraient avoir un impact important en matière de protection des données se voient attribuer un degré de priorité élevé. L'inventaire du CEPD pour 2007 est accessible sur le site du CEPD à l'adresse www.edps.europa.eu

(5)  Actuellement, les modalités sont fixées par le règlement (CEE) no 1408/71 du Conseil du 14 juin 1971 relatif à l'application des régimes de sécurité sociale aux travailleurs salariés et à leur famille qui se déplacent à l'intérieur de la Communauté (JO L 149 du 5.7.1971, p. 2), et par son règlement d'application, le règlement (CEE) no 574/72 du Conseil (JO L 74 du 27.3.1972, p. 1).

(6)  JO C 38 du 12.2.1999, p. 10.

(7)  Avis du Comité économique et social européen, rendu le 26 octobre 2006, sur la proposition de règlement du Parlement européen et du Conseil fixant les modalités d'application du règlement (CE) no 883/2004 portant sur la coordination des systèmes de sécurité social (JO C 324 du 30.12.2006, p. 59).

(8)  Les dispositions du règlement (CE) no 45/2001 correspondant à celles de la directive 95/46/CE et pour la facilité de la lecture, le présent avis ne fera référence qu'aux dispositions pertinentes de la directive et non aux dispositions similaires du règlement.

(9)  Par exemple, l'article 15 du règlement (CE) no 883/2004 et l'article 18 de la proposition à l'examen traitent le cas des transferts de données à caractère personnel concernant des agents auxiliaires.

(10)  Dans son avis, le CESE a attiré l'attention sur cette question, regrettant l'absence de disposition «qui interdi[se] explicitement toute utilisation des données à des fins autres que celles liées à la sécurité sociale», semblable à celle qui figure à l'article 84, paragraphe 5, point b), du règlement (CEE) no 1408/71. Avis du CESE, point 4.10.2.

(11)  La proposition de la Commission en vue d'un règlement du Conseil relatif à la compétence, la loi applicable, la reconnaissance et l'exécution des décisions et la coopération en matière d'obligations alimentaires (COM(2005) 649 final) offre un exemple récent de dispositions de ce type. En particulier, l'article 46 de cette proposition dispose que les autorités centrales nationales sont tenues de détruire les informations — qu'elles ont reçues des autorités d'autres États membres — immédiatement après les avoir transmises à l'entité nationale compétente. De plus, le paragraphe 3 précise clairement que des informations communiquées conformément audit règlement ne peuvent être conservées qu'aussi longtemps que cela est nécessaire eu égard à la finalité pour laquelle elles sont collectées, le délai de conservation ne pouvant en aucun cas excéder un an. Voir également l'avis du CEPD sur cette proposition, JO C 242 du 7.10.2006, p. 20, points 45 à 49.

(12)  Avis du CESE, point 1.11.

(13)  La proposition de la Commission en vue d'une décision-cadre du Conseil relative à l'organisation et au contenu des échanges d'informations extraites du casier judiciaire entre les États membres (COM(2005) 690 final) en offre un exemple récent. L'article 6 de cette proposition autorise la personne concernée à exercer son droit d'accès aux données à caractère personnel la concernant en s'adressant non seulement à l'autorité qui contrôle les données, mais aussi à l'autorité de l'État où elle réside. Le Système d'information Schengen contient d'autres exemples.

(14)  Avis du CESE, point 4.10.

(15)  Instaurée par l'article 71 du règlement (CE) no 883/2004. L'article 4 de la proposition précise que cette commission administrative établit le contenu des documents et la structure des messages électroniques standardisés.

(16)  http://ec.europa.eu/idabc/en/home


Top