EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52022DC0530
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL First report on the application of the Data Protection Regulation for European Union institutions, bodies, offices and agencies (Regulation 2018/1725)
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Premier rapport sur l’application du règlement relatif à la protection des données pour les institutions, organes et organismes de l’Union (RPDUE)
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Premier rapport sur l’application du règlement relatif à la protection des données pour les institutions, organes et organismes de l’Union (RPDUE)
COM/2022/530 final
COMMISSION EUROPÉENNE
Bruxelles, le 14.10.2022
COM(2022) 530 final
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
Premier rapport sur l’application du règlement relatif à la protection des données pour les institutions, organes et organismes de l’Union (RPDUE)
Table des matières
1 Introduction
2 Règles distinctes en matière de protection des données pour les institutions, organes et organismes de l’UE alignées sur la législation de l’UE en matière de protection des données
3 Mise en œuvre du RPDUE dans les IUE
3.1 Rôle des IUE en tant que responsables du traitement
3.2 Exercice des droits des personnes concernées
3.3 Limitation des droits des personnes concernées au moyen de règles internes
3.4 Délégués à la protection des données
3.5 Analyses d’impact relatives à la protection des données
3.6 Transferts internationaux de données
4 Activités du CEPD
4.1 Le CEPD en tant qu’autorité de contrôle de la protection des données pour les IUE
4.2 Le CEPD en tant que conseiller du législateur de l’UE
4.3 Coopération entre le CEPD et les autorités nationales de protection des données
4.4 Ressources du CEPD
5 Utilisation par la Commission des habilitations à adopter des actes délégués et des actes d’exécution
6 Règles en matière de protection des données pour les organes et organismes chargés de la coopération policière et judiciaire en matière pénale
6.1 Extension de l’application du chapitre répressif du RPDUE
6.2 Clarification de l’applicabilité de certaines dispositions du RPDUE au traitement des données opérationnelles
6.3 Pouvoirs du CEPD en matière de contrôle des organes et organismes de l’UE
7 Pistes
ANNEXE
1Introduction
Le règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union 1 (ci-après le «RPDUE») constitue le principal 2 cadre en matière de protection des données pour les institutions, organes et organismes de l’UE (ci-après les «IUE») lorsque ceux-ci traitent des données à caractère personnel en tant que responsables du traitement ou sous-traitants. Le règlement constitue l’un des piliers de la bonne gouvernance et de la bonne conduite administrative au niveau de l’UE. Il est entré en vigueur le 11 décembre 2018 3 , date à laquelle il a abrogé et remplacé son prédécesseur, le règlement (CE) n° 45/2001 4 .
Dans la présente communication, la Commission présente le premier rapport sur l’application du RPDUE, conformément à l’article 97 du règlement. Elle examine également les actes juridiques adoptés sur la base des traités qui régissent le traitement des données opérationnelles à caractère personnel 5 par les organes ou organismes de l’UE lorsqu’ils exercent des activités relevant de la coopération policière et de la coopération judiciaire en matière pénale 6 , conformément à l’article 98 du RPDUE.
La Commission a recueilli des informations sur l’application du RPDUE au moyen d’une enquête lancée en octobre 2021, au cours de laquelle les IUE ont été invitées à faire part de leur expérience en matière d’application du règlement. Au total, 56 7 IUE ont répondu, et les statistiques relatives aux IUE présentées dans le rapport se fondent sur ces réponses 8 . Une demande de contribution distincte a été adressée au Contrôleur européen de la protection des données (CEPD) en sa qualité d’autorité de contrôle 9 . Enfin, la Commission a également publié un appel à contributions 10 , par lequel le public a également eu la possibilité de formuler ses observations. Les points soulevés dans les très rares contributions reçues en réponse à cet appel sont abordées dans le présent rapport.
Le présent rapport situe le RPDUE dans le cadre de la législation de l’UE en matière de protection des données, présente son application par les IUE et les activités du CEPD et analyse l’application du chapitre applicable aux organes et organismes de l’UE qui exercent des activités relevant de la coopération policière et de la coopération judiciaire en matière pénale. Le rapport conclut en exposant des pistes.
2Règles distinctes en matière de protection des données pour les institutions, organes et organismes de l’UE alignées sur la législation de l’UE en matière de protection des données
Les principaux instruments de l’UE dans le domaine de la protection des données sont le règlement général sur la protection des données (RGPD) 11 , la directive en matière de protection des données dans le domaine répressif 12 et la directive vie privée et communications électroniques 13 . Ils ne s’appliquent toutefois pas au traitement de données à caractère personnel par les IUE 14 . Par conséquent, des règles de protection des données certes distinctes, mais alignées, sont nécessaires pour les IUE, règles que fixe le RPDUE.
Afin de garantir une approche cohérente de la protection des données à caractère personnel et de la libre circulation de celles-ci dans l’Union, le RPDUE est aligné autant que possible sur les règles en matière de protection des données adoptées pour le secteur public, énoncées dans le RGPD et dans la directive en matière de protection des données dans le domaine répressif. Chaque fois que le RPDUE suit les mêmes principes que le RGPD, il devrait être interprété de la même manière, du fait qu’il devrait être compris comme étant équivalent au RGPD 15 . On peut partir du principe qu’il en va de même pour les règles alignées sur les dispositions de la directive en matière de protection des données dans le domaine répressif.
Le RPDUE est adapté au contexte spécifique des IUE, tel que décrit aux points ci-dessous.
·Étant donné que son champ d’application englobe exclusivement les IUE en tant qu’organismes publics, plusieurs dispositions du RGPD qui ne concernent que le secteur privé ont été omises. Par exemple, la possibilité de se fonder sur la base juridique tirée des «intérêts légitimes» du responsable du traitement aux fins du traitement est absente du RPDUE 16 .
·Plusieurs habilitations de la Commission à adopter des actes d’exécution ou des actes délégués ne sont pas répétées en tant que telles, le RPDUE faisant plutôt référence au RGPD ou à la directive en matière de protection des données dans le domaine répressif. Par exemple, bien que le RPDUE ne contienne pas de mécanisme permettant d’adopter des décisions d’adéquation pour les transferts internationaux, les IUE peuvent malgré tout se fonder sur les décisions d’adéquation adoptées en vertu du RGPD ou de la directive en matière de protection des données dans le domaine répressif.
·Le RPDUE établit également directement le CEPD, en définissant ses missions, ses pouvoirs et ses procédures de nomination. En vertu du RGPD et de la directive en matière de protection des données dans le domaine répressif, les autorités de contrôle respectives sont établies en vertu du droit national, conformément aux exigences de ces deux actes.
·Le chapitre du RPDUE applicable aux organes et organismes de l’UE dans le domaine pénal 17 est équivalent, du point de vue fonctionnel, à la directive en matière de protection des données dans le domaine répressif pour ces organes et organismes. Toutefois, en tant que règlement directement applicable, il est formulé différemment. Il prévoit des règles générales à compléter par des dispositions spécifiques dans les actes constitutifs des organes et organismes agissant dans ce domaine, le cas échéant. Il prévoit un régime sur mesure pour le traitement des données opérationnelles à caractère personnel tenant compte de la nature spécifique de ce secteur, par exemple les règles relatives à l’information des personnes concernées, qui garantissent la protection des enquêtes.
3Mise en œuvre du RPDUE dans les IUE
3.1Rôle des IUE en tant que responsables du traitement
Le retour d’information général de la part des IUE montre que les premières années d’application du RPDUE ont contribué positivement au renforcement de leur culture générale de la protection des données. À cet égard, 94 % des IUE ont déclaré que l’entrée en vigueur du RPDUE avait amélioré la conscientisation de leur organisation quant aux règles en matière de protection des données, dans une certaine mesure ou dans une large mesure. D’une manière générale, les IUE ont indiqué que le RPDUE avait eu une incidence positive sur leurs politiques de protection des données, et que leur personnel avait pris davantage conscience de la responsabilité de leur organisation en tant que responsable du traitement des données et des exigences en matière de traitement des données à caractère personnel.
Parmi les principaux effets produits par le RPDUE par rapport au règlement 45/2001 abrogé, les IUE ont mentionné la réalisation d’analyses d’impact relatives à la protection des données, la détection et la gestion des violations de données et la prise en compte de la protection des données dès la conception et par défaut. Le RPDUE rend plus visible la possibilité d’une responsabilité conjointe — plusieurs organisations définissant ensemble les finalités et les moyens du traitement des données à caractère personnel —, au même titre que le RGPD. Le CEPD a fourni des lignes directrices 18 à ce sujet et la Commission a élaboré des modèles internes pour les modalités relatives à la responsabilité conjointe.
Si les exigences supplémentaires en matière de responsabilité qui sont nécessaires pour démontrer le respect du RPDUE pour les IUE ont été généralement accueillies favorablement, certaines IUE ont noté que les dispositions du règlement ont entraîné une augmentation de la charge de travail. Elles ont également souligné que le RPDUE définit des règles relativement complexes, ce qui exige des IUE une plus grande expertise, notamment de la part de leurs délégués à la protection des données (DPD), ainsi que, pour les IUE qui en ont, de la part des réseaux de coordinateurs de la protection des données (CPD).
Toutes les IUE, à l’exception de deux d’entre elles, tiennent leurs registres des traitements dans un registre central. Bien qu’il ne s’agisse pas d’une exigence spécifique au titre du RPDUE, il s’agit d’une bonne pratique également recommandée par le CEPD 19 . En outre, 72 % des IUE ont converti en registres toutes les notifications qu’elles avaient transmises au DPD au titre du règlement précédent 20 . Celles qui n’ont pas encore mené cette tâche à bien devraient examiner et mettre à jour leurs documents relatifs aux traitements afin de s’assurer qu’ils sont complets et à jour.
3.2Exercice des droits des personnes concernées
Le RPDUE confère aux personnes concernées un large éventail de droits relatifs au traitement de leurs données à caractère personnel, conformément au RGPD. En tant que responsables du traitement, les IUE ont l’obligation spécifique de faciliter l’exercice de ces droits 21 . En conséquence, 96 % des IUE ont indiqué avoir mené des activités de sensibilisation, telles que la mise à jour d’informations accessibles au public sur leurs traitements, des messages d’information ou des guides à l’intention des personnes concernées.
Plusieurs IUE, telles que la Commission, la Banque centrale européenne et le Service européen pour l’action extérieure, ont fait état d’une nette augmentation du nombre de demandes reçues de particuliers entre 2018 et 2021 22 . Toutefois, pour d’autres, comme la Cour de justice de l’Union européenne, le Comité économique et social européen et l’Agence de l’Union européenne pour l’asile, les chiffres ont été stables ou ont fluctué sans tendance claire. Il n’est pas encore possible de dégager une nette tendance dans le nombre de demandes émanant de personnes concernées depuis l’entrée en vigueur du RPDUE, étant donné que l’enregistrement des différents types de demandes varie d’une IUE à l’autre.
3.3Limitation des droits des personnes concernées au moyen de règles internes
À l’instar du RGPD, le RPDUE 23 prévoit la possibilité de limiter certains droits dont bénéficient les personnes concernées. De telles limitations peuvent être mises en œuvre au moyen d’actes législatifs et de règles internes 24 . Des critères stricts s’appliquent à ces règles internes. Elles doivent être claires et précises et leur application doit être prévisible pour les personnes qui y sont soumises. Les règles doivent être publiées au Journal officiel et respecter les exigences énoncées dans la Charte des droits fondamentaux et dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentale 25 .
Les limitations fondées sur des règles internes ne peuvent concerner que le fonctionnement des IUE. Elles doivent respecter les droits fondamentaux, constituer des mesures nécessaires et proportionnées dans une société démocratique et viser à garantir l’un des objectifs spécifiquement énumérés dans le RPDUE 26 . Toute personne concernée dont les droits ont été limités a le droit de saisir le CEPD 27 .
Une grande majorité (84 %) des IUE ont adopté des règles internes. Par exemple, de telles règles ont été introduites pour permettre de différer la communication d’informations à une personne concernée dans le cadre d’une enquête administrative interne 28 . Dans d’autres cas, l’objectif de ces règles a été d’assurer la poursuite d’une coopération efficace avec les États membres dans les domaines où les activités des IUE reposent sur les informations reçues des autorités compétentes des États membres. Par exemple, les règles internes adoptées par la Commission pour le traitement des données à caractère personnel dans le cadre de ses activités de concurrence, de lutte contre la fraude et d’audit interne prévoient la possibilité d’introduire des limitations des droits des personnes concernées lorsque des données à caractère personnel sont obtenues auprès des autorités compétentes des États membres 29 . Ces règles prévoient la possibilité d’imposer des limitations similaires lorsque les autorités nationales ont imposé des limitations fondées sur une mesure législative permise par le RGPD 30 ou la directive en matière de protection des données dans le domaine répressif 31 .
Les règles internes permettant de limiter les droits des personnes concernées, adoptées par les IUE, sont généralement appliquées au cas par cas, conformément aux exigences prévues par lesdites règles. Toutefois, 69 % des IUE ayant adopté des règles au titre de l’article 25 indiquent ne pas encore y avoir eu recours. Celles qui y ont fait appel ont signalé moins de 10 cas de limitations, à l’exception du Parlement européen et de la Commission. La nécessité de procéder à des limitations s’est présentée plus souvent dans les activités de l’OLAF, notamment en ce qui concerne le report de la communication d’informations aux personnes concernées sur le traitement de leurs données à caractère personnel lorsqu’une enquête en est encore à un stade précoce afin de ne pas compromettre la collecte de preuves. L’OLAF a également appliqué plusieurs limitations concernant les demandes d’accès des personnes concernées à leurs propres données à caractère personnel, qui n’avaient été rejetées que dans le but de protéger les droits et libertés d’autrui 32 , par exemple lorsque la divulgation des données ferait courir à un informateur un risque de représailles.
Les règles internes des IUE obligent généralement ces dernières à informer leurs DPD de toute limitation appliquée et à leur donner accès au registre et à tout document concernant ces limitations 33 .
3.4Délégués à la protection des données
L’obligation que chaque IUE dispose d’un DPD était déjà prévue dans le précédent règlement (CE) n° 45/2001. Le RPDUE a donné plus de visibilité à ce rôle en introduisant le principe de responsabilité, ce qui signifie que le responsable du traitement est responsable de la bonne application des règles en matière de protection des données et doit être capable de démontrer le respect desdites règles.
Dans 46 % des IUE, les DPD sont soutenus par des réseaux de CPD ou des structures similaires 34 . Les IUE de plus grande taille sont davantage susceptibles de disposer de tels réseaux [par exemple, le Parlement européen, le Secrétariat général du Conseil, la Commission et le Service européen pour l’action extérieure (SEAE)]. Le SEAE organise et gère également un réseau de correspondants pour la protection des données dans les délégations de l’UE.
Un certain nombre d’IUE ont pris acte de l’augmentation des responsabilités et de la charge de travail de leur DPD (et, par extension, des CPD). Elles ont reconnu la nécessité de fournir davantage de ressources aux DPD (et aux CPD) afin de leur permettre de mettre en œuvre efficacement les politiques de protection des données en leur sein. La nécessité de garantir l’indépendance des DPD a également été mentionnée.
Deux tendances se dégagent dans ce contexte: d’une part, le RPDUE met davantage l’accent sur la responsabilité du responsable du traitement, par exemple en supprimant la procédure de contrôle préalable qui existait en vertu du précédent règlement (CE) n° 45/2001, réduisant ainsi la charge administrative; d’autre part, les responsables du traitement sollicitent davantage de lignes directrices auprès des DPD/CPD quant à la meilleure manière de se conformer au RPDUE. À cet égard, il a été noté que le réseau des DPD des IUE constituait un forum important pour aborder et clarifier certains aspects juridiques et techniques spécifiques au traitement des données par les IUE. Ce réseau fournit une plateforme d’échanges entre les DPD et le CEPD et entre les DPD eux-mêmes. Ses membres entretiennent une coopération permanente et se réunissent généralement deux fois par an.
Plus de la moitié (54 %) des IUE ont accordé plus de ressources à leurs DPD et, plus généralement, à leurs fonctions de protection des données. La plupart (84 %) des IUE ont adapté leurs processus internes afin de veiller à ce que leur personnel informe et consulte les DPD au sujet des nouvelles opérations de traitement des données à caractère personnel. À cet effet, elles ont généralement inclus les DPD dans les processus de gestion du changement ou dans les comités de pilotage des projets par exemple.
3.5Analyses d’impact relatives à la protection des données
Les IUE à avoir réalisé le plus grand nombre d’analyses d’impact relatives à la protection des données (AIPD) sont la Banque centrale européenne, la Banque européenne d’investissement et la Commission. Par rapport au système précédent de «contrôle préalable» 35 prévu par le règlement (CE) n° 45/2001, le nombre de dossiers transmis au CEPD a considérablement diminué, une conséquence attendue de ce changement, au même titre que la réduction des consultations du CEPD sur les traitements administratifs tels que l’évaluation du personnel.
Le tableau 1 de l’annexe donne une vue d’ensemble des AIPD réalisées par les IUE entre 2019 et 2021.
Quasiment toutes les IUE (94 %) ont convenu que les critères du RPDUE 36 concernant le moment auquel elles doivent effectuer des AIPD couvrent de manière adéquate les traitements à haut risque. Celles qui n’étaient pas d’accord ont insisté sur la nécessité pour le CEPD de tenir compte de l’évolution technologique lors de l’interprétation de ces critères. Par exemple, l’informatique en nuage n’est plus une «nouvelle» technologie et il convient d’en tenir compte lors de l’évaluation de la nécessité de réaliser des AIPD. Les IUE qui ont soulevé ce point considèrent généralement que le texte juridique est suffisamment clair en soi et qu’il s’agit d’une question d’interprétation incombant au CEPD.
Le RPDUE ne contient aucune obligation spécifique de publier les résultats des AIPD. Une grande majorité (84 %) des IUE ne publient pas les AIPD qu’elles ont réalisées, tandis que 14 % les publient en partie ou sous forme de résumé, en supprimant les informations susceptibles de compromettre les garanties de sécurité adoptées. Une seule IUE a indiqué publier l’intégralité de ses AIPD. La publication des AIPD, en supprimant, le cas échéant, les informations susceptibles de compromettre la sécurité des traitements, améliore la transparence en matière de respect des dispositions du RPDUE par les IUE et constitue une bonne pratique recommandée par le CEPD 37 .
3.6Transferts internationaux de données
Presque toutes les IUE (91 %) ont déclaré que leurs activités impliquaient des transferts internationaux de données à caractère personnel. De telles opérations incluent les transferts de données vers des pays tiers/pays de l’EEE ainsi qu’à des organisations internationales. Toutefois, plusieurs IUE ont indiqué que ces transferts étaient rares ou ne concernaient qu’une quantité limitée de données à caractère personnel. En ce qui concerne les outils de transfert utilisés, les IUE ont évoqué principalement les décisions d’adéquation (adoptées en vertu du RGPD 38 ou de la directive en matière de protection des données dans le domaine répressif 39 ), ainsi que les instruments contractuels, par exemple pour les transferts de données vers des entreprises privées. Pour les transferts de données vers des organismes publics, d’autres outils sont également utilisés, tels que des accords juridiquement contraignants et des arrangements administratifs. En outre, 51 % des IUE ont indiqué effectuer des transferts limités de manière occasionnelle, par exemple pour organiser des formations, sur la base des motifs prévus par la réglementation relative aux transferts de données (ci-après les «dérogations») 40 .
Dans la pratique, les transferts de données ne sont généralement pas effectués directement par les IUE, mais par leurs sous-traitants (qui ne sont pas des IUE) agissant en leur nom. La Commission a donc spécifiquement abordé ce scénario dans les clauses contractuelles types adoptées au titre du RGPD en juin 2021 41 afin d’aider les responsables du traitement et les sous-traitants à se conformer aux exigences tant du RGPD que du RPDUE. En particulier, les sous-traitants de l’Espace économique européen (EEE) ont la possibilité d’inclure ces clauses contractuelles types pour les transferts internationaux de données dans les contrats conclus avec leurs sous-traitants ultérieurs dans des pays tiers 42 . Cette mesure garantit le respect des règles du RPDUE 43 concernant le recrutement de sous-traitants ultérieurs pour le compte des IUE, pour autant que les obligations en matière de protection des données soient alignées dans les contrats entre: i) l’IUE et le sous-traitant; et ii) le sous-traitant et son sous-traitant ultérieur 44 . En particulier, les IUE peuvent assurer un tel alignement en utilisant les clauses contractuelles types qui ont été adoptées par la Commission pour la relation entre les responsables du traitement et les sous-traitants 45 .
Afin de fournir des outils supplémentaires assurant des garanties appropriées pour les transferts directs de données depuis les IUE vers des pays tiers (c’est-à-dire sans la participation d’un sous-traitant dans l’UE/EEE), la Commission élabore actuellement des clauses contractuelles types au titre de l’article 48, paragraphe 2, point b), du RPDUE. Ces clauses seront, dans toute la mesure du possible, alignées sur les clauses existantes adoptées au titre du RGPD.
Enfin, compte tenu des questions spécifiques qui se posent lorsque des données à caractère personnel sont transférées vers des organisations internationales (par exemple en raison du statut de celles-ci et des privilèges et immunités applicables), la Commission collabore avec les DPD des IUE pour mettre au point des outils spécifiques (par exemple, des arrangements administratifs) adaptés à ces transferts.
4Activités du CEPD
4.1Le CEPD en tant qu’autorité de contrôle de la protection des données pour les IUE
Le CEPD est l’autorité indépendante de contrôle de la protection des données pour les IUE 46 , sur le modèle des autorités nationales de contrôle de la protection des données établies dans les États membres en vertu du RGPD et de la directive en matière de protection des données dans le domaine répressif.
Le tableau 2 de l’annexe donne une vue d’ensemble des activités de contrôle réalisées par le CEPD entre 2018 et 2021. Étant donné que le RPDUE est entré en vigueur le 11 décembre 2018 47 , les chiffres de 2018 fournissent une base de référence pour toute comparaison avec la situation au titre du précédent règlement (CE) n° 45/2001.
Le CEPD a constaté un glissement vers les activités principales des IUE en ce qui concerne les sujets des consultations reçus depuis l’entrée en vigueur du RPDUE, à savoir le passage à des questions sur le traitement des données à caractère personnel dans le cadre de l’exécution des tâches confiées aux IUE dans l’intérêt général et l’abandon des questions «administratives», telles que la gestion du personnel.
Le nombre de réclamations irrecevables reçues par le CEPD a augmenté entre 2019 et 2021 48 . La plupart des réclamations jugées irrecevables étaient dirigées contre les responsables du traitement dans les États membres, qui ne sont pas contrôlés par le CEPD, mais par leurs autorités nationales de la protection des données. Le fait que les chiffres de 2018 étaient plus élevés est très certainement dû à l’entrée en vigueur du RGPD. Il en a résulté une sensibilisation accrue du grand public aux règles en matière de protection des données, mais aussi une augmentation du nombre de réclamations irrecevables. Le CEPD peut également clôturer les réclamations recevables en cas de solution amiable.
En ce qui concerne les inspections et les audits, l’année 2019 a connu une augmentation par rapport au scénario de référence de 2018, suivie d’une baisse en 2020 et 2021, ce qui peut s'expliquer par le fait que la pandémie de COVID-19 rend les contrôles sur place difficiles et qu'ils sont remplacés par des audits à distance. Le CEPD évalue les risques afin de décider quelles sont les IUE à inspecter. À cet effet, il est tenu compte, par exemple, du nombre de consultations soumises, en particulier lorsque des catégories particulières de données sont traitées dans le cadre des activités principales d’une IUE. Le CEPD peut également décider de mener des enquêtes de sa propre initiative, par exemple sur l’utilisation par l’IUE de fournisseurs de services en nuage.
En ce qui concerne les violations de données, le CEPD a indiqué que, dans la majorité des cas, une erreur humaine était la cause sous-jacente, suivie par les erreurs techniques et les attaques extérieures 49 .
Le CEPD a fait usage de la plupart de ses pouvoirs au titre du RPDUE, notamment en imposant des interdictions temporaires dans le cas de certains traitements 50 . Jusqu’à présent, il n’a pas fait usage de sa nouvelle compétence l’habilitant à infliger des amendes administratives, ce qui représente une mesure de dernier recours au titre du RPDUE 51 .
Dans sa contribution au présent rapport, le CEPD a également souligné qu’il avait investi dans des activités de sensibilisation, telles que la formation, avec un pic, selon les estimations, à plus de 4 600 participants en 2019, à la suite de l’entrée en vigueur du RPDUE. Si le nombre de participants en 2020 et 2021 a diminué par rapport à ce chiffre record, il reste nettement plus élevé que le nombre de participants de 2018, qui, d’après les estimations, s’élevait à 1 000.
Les IUE ont fourni un retour d’information largement positif sur les interactions avec le CEPD et les orientations reçues de la part de ce dernier, 86 % indiquant que les réponses étaient toujours ou généralement faciles à comprendre. Les IUE ont également apprécié le renforcement des contacts du CEPD avec le réseau des DPD.
Toutefois, certaines IUE ont noté que les conseils du CEPD arrivaient parfois trop tard 52 . Elles ont souligné l’importance de disposer d’un soutien et de conseils en permanence de la part du CEPD et ont demandé que des orientations pratiques soient fournies en temps utile sur certaines questions relatives à la protection des données. Parmi ces questions figurent la mise en œuvre de l’approche fondée sur les risques pour les responsables du traitement, les transferts internationaux et la relation entre les responsables du traitement (y compris les responsables conjoints du traitement) et leurs sous-traitants.
4.2Le CEPD en tant que conseiller du législateur de l’UE
La Commission consulte 53 officiellement le CEPD, en particulier sur les propositions législatives en cas d’incidence sur le traitement des données à caractère personnel, après leur adoption par le collège 54 . Le CEPD répond à ces consultations en formulant des avis ou des observations 55 . Le CEPD émet également des avis d’initiative, tels que son avis préliminaire sur l’espace européen des données de santé 56 . Lorsqu’une proposition revêt une importance particulière pour la protection des données, la Commission peut également consulter le comité européen de la protection des données. Dans ce cas, le CEPD et le comité européen de la protection des données devraient formuler un avis conjoint 57 afin de veiller à ce que le législateur de l’UE reçoive des conseils cohérents.
La Commission consulte également le CEPD de manière informelle avant que les actes soumis à des exigences de consultation ne soient adoptés par le collège. En réponse à ces consultations, le CEPD adresse des observations informelles à la Commission. Cette possibilité contribue à garantir la pleine conformité des actes de la Commission avec les règles en matière de protection des données avant leur adoption. Les consultations informelles sont particulièrement utilisées pour les actes sensibles ou ayant une plus grande incidence sur la protection des données.
L’activité du CEPD en tant que conseiller auprès du législateur de l’UE dépend du nombre de nouvelles propositions préparées par la Commission. Après des chiffres moins élevés au cours de la dernière année de la Commission sortante, l’augmentation sensible des observations formelles en 2021 est due à l’augmentation du nombre de propositions législatives et aux efforts déployés par la Commission pour assurer une mise en œuvre cohérente de l’obligation de consulter le CEPD 58 . Cela inclut les actes d’exécution et les actes délégués qui impliquent le traitement de données à caractère personnel. À la suite de l’entrée en vigueur du RPDUE, le Secrétariat général de la Commission a élaboré des procédures et sensibilisé les services à l’obligation de consulter le CEPD. Il en a résulté une consultation plus systématique, y compris pour les actes d’exécution et les actes délégués. À des fins de planification, le CEPD et les services de la Commission tiennent des réunions annuelles sur le programme de travail à venir et les propositions qui nécessiteront une consultation.
4.3Coopération entre le CEPD et les autorités nationales de protection des données
Le CEPD est membre du comité européen de la protection des données et lui fournit un secrétariat. Il coopère également d’autres façons avec les autorités de contrôle nationales dans l’exercice de leurs fonctions respectives 59 . Il peut s’agir, par exemple, de plaintes adressées à l’autorité de contrôle compétente en matière de protection des données ou de cas impliquant des prestataires de services externes auxquels ont recours tant les IUE que les responsables du traitement soumis au RGPD. Le CEPD contribue également activement aux travaux du comité européen de la protection des données en jouant, par exemple, le rôle de rapporteur principal ou de corapporteur pour les lignes directrices, ou en contribuant d’une autre manière à ses travaux.
Plusieurs systèmes d’information à grande échelle et organes ou organismes créés en vertu du droit de l’Union exigent que le CEPD et les autorités de contrôle nationales, agissant chacune dans le cadre de leurs responsabilités respectives, coopèrent activement pour assurer un contrôle coordonné 60 . Dans le passé, les actes constitutifs de chaque système ou organe ou organisme comportaient des dispositions spécifiques à cet effet 61 . Le RPDUE crée un système harmonisé pour cette coordination du contrôle, auquel il peut être fait référence dans d’autres actes. Il s’agit du système d’information du marché intérieur 62 , de l’ECRIS-TCN 63 , d’Eurojust 64 et, plus récemment, d’Europol 65 . D’autres systèmes disposent encore de groupes de coordination de contrôle dont les actes constitutifs comportent des règles détaillées, ou des références détaillées aux réunions dans le cadre du comité européen de la protection des données 66 .
Le CEPD contribue également au mécanisme d’évaluation de Schengen établi par le règlement (CE) n° 1053/2013 du Conseil 67 . En vertu de ce règlement, la Commission peut inviter le CEPD à désigner un observateur à participer à une inspection sur place concernant un domaine relevant de son mandat, c’est-à-dire des évaluations de la protection des données 68 , sur le modèle de la possibilité pour Frontex et Europol de désigner des observateurs pour les évaluations de la gestion des frontières et de la coopération policière, respectivement. De l’avis de la Commission, l’expertise des observateurs du CEPD constitue un atout précieux pour les évaluations de la protection des données.
4.4Ressources du CEPD
Le personnel du CEPD (y compris le secrétariat du comité européen de la protection des données 69 ) a vu ses effectifs augmenter constamment au cours de la période de référence 70 , reflétant la tendance générale au sein des autorités nationales de contrôle de la protection des données. Les activités du secrétariat du comité européen de la protection des données se sont intensifiées au fil du temps, le comité produisant sans cesse plus de lignes directrices, de recommandations, d’avis et d’autres documents auxquels le secrétariat contribue. Il est essentiel de fournir des ressources suffisantes au secrétariat du comité européen de la protection des données, compte tenu du rôle plus important qu’il devrait jouer dans l’application effective du RGPD. Cela concerne en particulier l’objectif du comité de développer une coopération plus étroite pour ce qui est des travaux stratégiques et d’utiliser de nouveaux outils soutenant la coopération entre les autorités chargées de la protection des données 71 . Plus particulièrement, il est essentiel de disposer d’un secrétariat solide et doté de ressources suffisantes pour soutenir les travaux du comité européen de la protection des données afin de veiller à ce que celui-ci puisse mener à bien ses travaux en fonction des besoins, notamment dans le contexte du mécanisme de contrôle de la cohérence 72 , dont l’utilisation devrait continuer d’augmenter.
Dans sa contribution à ce rapport, le CEPD a notamment estimé que, s’il devait être chargé de tâches supplémentaires, par exemple en tant qu’autorité de surveillance du marché en vertu de la proposition législative sur l’intelligence artificielle 73 , des ressources supplémentaires devraient lui être allouées en conséquence.
5Utilisation par la Commission des habilitations à adopter des actes délégués et des actes d’exécution
Le RPDUE contient plusieurs habilitations permettant à la Commission d’adopter des actes d’exécution et de définir des clauses types, ainsi que des références croisées aux habilitations au titre du RGPD 74 .
Le RPDUE 75 contient des dispositions habilitant la Commission à définir des clauses contractuelles types en matière de protection des données pour les contrats entre responsables du traitement et sous-traitants, sur le modèle de l’habilitation prévue par le RGPD 76 . La Commission a fait usage de cette habilitation et a adopté, en juin 2021 77 , des clauses contractuelles types portant sur les relations entre responsables du traitement et sous-traitants couvrant à la fois le RGPD et le RPDUE. Ces clauses fournissent aux responsables du traitement des outils faciles d’utilisation pour gérer efficacement les relations avec leurs sous-traitants.
Le RPDUE 78 habilite également la Commission à adopter des clauses contractuelles types en matière de protection des données afin de fournir des garanties appropriées pour le transfert de données à caractère personnel en dehors de l’UE/EEE. La Commission prépare actuellement de telles clauses.
6Règles en matière de protection des données pour les organes et organismes chargés de la coopération policière et judiciaire en matière pénale
Le chapitre IX du RPDUE contient des règles pour le traitement des données opérationnelles à caractère personnel par les IUE dans l’exercice d’activités relevant de la coopération policière et de la coopération judiciaire en matière pénale («chapitre répressif»). Il vise à réduire la fragmentation:
·entre les régimes de protection des données applicables au traitement des données opérationnelles par les IUE dans ce domaine;
·avec le régime de protection des données applicable aux activités nationales en matière d’application du droit pénal au titre de la directive en matière de protection des données dans le domaine répressif.
À cette fin, le chapitre répressif du RPDUE prévoit un ensemble de règles horizontales fondées sur la directive en matière de protection des données dans le domaine répressif. Ces règles peuvent être complétées, le cas échéant, par des règles spécifiques figurant dans les actes fondateurs des IUE, en fonction de leurs mandats respectifs et de la nature spécifique de leurs missions et traitements de données.
Le RPDUE souligne la nécessité d’assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement de leurs données à caractère personnel 79 . À cette fin, il énonce explicitement l’objectif d’étendre l’application du chapitre répressif du RPDUE aux organes et organismes qui disposaient de cadres distincts en matière de protection des données dans leurs actes constitutifs au moment de son adoption, à savoir Europol et le Parquet européen. Il fait également référence à l’éventuelle modification du chapitre répressif, si nécessaire.
6.1Extension de l’application du chapitre répressif du RPDUE
Au moment de la rédaction du présent document, le chapitre répressif du RPDUE s’applique au traitement des données opérationnelles à caractère personnel par:
·Eurojust 80 , complété par des règles spécifiques figurant dans le règlement Eurojust;
·Europol 81 , complété par des règles spécifiques figurant dans le règlement Europol, qui a été modifié 82 depuis l’entrée en vigueur du RPDUE;
·Frontex pour la petite partie de ses activités qui relèvent de l’application du droit pénal 83 .
Toutefois, le chapitre répressif du RPDUE ne s’applique pas encore au Parquet européen dont le règlement constitutif a été adopté avant le RPDUE. Le règlement sur le Parquet européen prévoit un régime autonome pour le traitement des données opérationnelles. Deux conséquences s’ensuivent. Premièrement, certaines dispositions du règlement sur le Parquet européen diffèrent sur le fond du chapitre répressif du RPDUE, telles que le traitement de données à caractère personnel «limitées» 84 . Deuxièmement, certaines dispositions du règlement sur le Parquet européen, bien que similaires en substance, sont libellées différemment du chapitre répressif du RPDUE, ce qui pourrait donner lieu à des interprétations différentes.
Dans un souci de cohérence et conformément à l’objectif général consistant à réduire le plus possible la fragmentation des règles en matière de protection des données, une approche similaire à celle adoptée pour Eurojust et Europol devrait être suivie pour le Parquet européen. L’objectif est de garantir l’applicabilité directe du chapitre répressif du RPDUE au Parquet européen en ne conservant que les spécifications nécessaires dans le règlement sur le Parquet européen. Dans le même temps, étant donné que le Parquet européen n’est opérationnel que depuis un an, à court terme, il reste nécessaire de recueillir davantage d’informations sur l’application pratique du régime de protection des données du Parquet européen. Une telle démarche permettra d’identifier précisément ces spécifications, en tenant compte de la nature du Parquet européen en tant que ministère public indépendant de l’UE 85 .
6.2Clarification de l’applicabilité de certaines dispositions du RPDUE au traitement des données opérationnelles
Le RPDUE 86 précise que «[s]euls l’article 3 [Définitions] et le chapitre IX [chapitre répressif] du présent règlement s’appliquent au traitement des données opérationnelles à caractère personnel».
Le chapitre répressif contient des dispositions de fond correspondant à la plupart des dispositions des chapitres II à V du RPDUE (principes généraux, droits des personnes concernées, certaines obligations des responsables du traitement et des sous-traitants, transferts internationaux de données), avec certaines différences pour tenir compte de la nature spécifique de l’aspect répressif (par exemple, les règles relatives à l’information des personnes concernées et à leur droit d’accès à leurs données).
Il importe de préciser, en modifiant le RPDUE, que le chapitre répressif ne prévoit des règles spécifiques que pour les dispositions correspondantes d’autres chapitres du RPDUE qui ont un équivalent direct dans le chapitre répressif. Ainsi, si le législateur n’inclut pas de règles spécifiques dans l’acte constitutif d’un organe ou organisme, les dispositions des chapitres autres que le chapitre répressif qui n’ont pas d’équivalent direct dans ce dernier 87 s’appliquent au traitement des données opérationnelles.
Cette modification améliorerait la sécurité juridique et fournirait un cadre complet (par exemple en ce qui concerne la position des DPD, la coopération avec les autorités nationales de contrôle de la protection des données), y compris pour tout futur organe ou organisme dans ce domaine 88 . Disposer d’un tel cadre complet permettrait également de réduire les risques de fragmentation.
6.3Pouvoirs du CEPD en matière de contrôle des organes et organismes de l’UE
Actuellement, les règlements instituant le Parquet européen, Eurojust et Europol contiennent des dispositions spécifiques sur les pouvoirs du CEPD 89 .
Le règlement Europol mis à jour confère au CEPD des pouvoirs alignés sur ceux visés à l’article 58 du RPDUE 90 . C’est notamment le cas du pouvoir d’infliger des amendes administratives et du pouvoir d’ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité, le cas échéant, d’une manière et dans un délai déterminés.
Toutefois, dans le cas du Parquet européen, les pouvoirs du CEPD sont formulés différemment que dans le RPDUE. Le CEPD ne dispose pas des deux pouvoirs susmentionnés 91 .
Le règlement Frontex, pour la petite partie des activités de Frontex relevant du chapitre répressif 92 , ne contient aucune disposition spécifique sur les compétences du CEPD, ce qui donne lieu à des incertitudes à leur sujet.
Il serait possible de doter le CEPD de l’ensemble des pouvoirs prévus à l’article 58 du RPDUE en suivant les deux étapes ci-dessous.
1.Préciser que le RPDUE, par défaut, confie au CEPD le contrôle du chapitre répressif et les pouvoirs qui lui sont conférés en vertu de l’article 58 du RPDUE 93 . Pour ce faire, il convient de modifier le RPDUE comme proposé dans la section précédente.
Une telle clarification permettrait également de combler les lacunes du règlement Frontex.
2.En ôtant les dispositions relatives aux pouvoirs du CEPD des actes fondateurs des organes et organismes, l’ensemble des pouvoirs conférés au CEPD par le RPDUE tel que modifié s’appliqueraient directement à Eurojust et au Parquet européen. L’objectif est de les aligner autant que possible afin de réduire la fragmentation des règles en matière de protection des données.
7Pistes
Dans l’ensemble, le RPDUE fonctionne bien et est adapté à son objectif. À ce stade, la Commission ne proposera pas de modification pour les parties qui équivalent aux règles correspondantes du RGPD, maintenant ainsi l’alignement le plus étroit possible entre le RPDUE et le RGPD 94 . Les éventuelles modifications envisagées dans le présent rapport concernent d’autres parties, notamment le lien entre le chapitre répressif du RPDUE et les autres dispositions de ce règlement.
Au printemps 2022, la Commission a proposé des règles visant à renforcer la sécurité de l’information dans les IUE 95 , ce qui aura une incidence positive sur la sécurité de l’information, notamment sur la protection des données à caractère personnel. Cette proposition vise à améliorer encore la résilience des IUE et leur capacité à réagir aux incidents en cas de menaces pour la cybersécurité.
La Commission prendra également les mesures décrites ci-dessous:
-lors de la mise à jour des actes établissant des systèmes d’information à grande échelle qui comportent encore des règles détaillées sur un modèle de coordination du contrôle, veiller à ce que le modèle de coordination du contrôle prévu par le RPDUE 96 s’applique afin de rationaliser les procédures;
-envisager d’apporter des modifications au RPDUE pour:
oaméliorer la sécurité juridique et finaliser le cadre régissant le traitement des données opérationnelles en précisant, à l’article 2, paragraphe 2, que les dispositions générales du RPDUE s’appliquent également au traitement des données opérationnelles à caractère personnel, sauf si le chapitre répressif contient des dispositions spécifiques (telles que le droit d’accès). Cela fournirait également un cadre prêt à l’emploi pour tout futur organe et organisme dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière;
oassurer la participation du CEPD en tant qu’observateur à toutes les évaluations de la protection des données dans le cadre du mécanisme d’évaluation de Schengen;
-envisager ensuite de modifier les règlements relatifs au Parquet européen et à Eurojust dans le cadre d’une future révision afin de garantir la pleine application des dispositions relatives au traitement des données opérationnelles à caractère personnel figurant dans le RPDUE tel que modifié, en tenant compte de la nature spécifique de ces organes et organismes. Il en résultera également un alignement des pouvoirs du CEPD à l’égard de ces organes et organismes sur ceux dont il dispose vis-à-vis des autres IUE;
-proposer des clauses contractuelles types pour les transferts internationaux de données à caractère personnel 97 pour les IUE;
-poursuivre la coopération étroite avec le CEPD (et, le cas échéant, le comité européen de la protection des données) afin de garantir une consultation ciblée et en temps utile sur les nouvelles propositions 98 , ainsi que poursuivre la consultation informelle du CEPD sur les textes importants avant leur adoption.
Le CEPD est invité à:
-fournir, en temps utile, des orientations pratiques supplémentaires aux IUE, y compris en ce qui concerne les transferts internationaux de données;
-continuer de sensibiliser les responsables du traitement et les sous-traitants aux obligations qui leur incombent en vertu du RPDUE, et à conseiller les délégués à la protection des données;
-intensifier les efforts visant à faire appliquer de manière effective le RPDUE afin d’assurer la pleine protection des personnes concernées.
Les institutions, organes et organismes de l’UE sont invités à:
-poursuivre et, le cas échéant, intensifier les efforts de sensibilisation afin de garantir un niveau suffisant d’expertise interne au sujet des dispositions du RPDUE;
-envisager de publier des AIPD, à l’exclusion des informations susceptibles de compromettre les garanties de sécurité adoptées si nécessaire;
-veiller à ce que les DPD (ainsi que les CPD) disposent de ressources suffisantes et d’une position au sein des IUE leur permettant d’accomplir leurs tâches de façon efficace et indépendante;
-achever la conversion des notifications restantes au titre du précédent règlement sur la protection des données en registres relatifs à la protection des données.
ANNEXE
Tableau 1 — Analyses d’impact relatives à la protection des données et consultations préalables menées par les IUE
|
2019 |
2020 |
2021 |
|
|
Risque résiduel accepté |
30 |
50 |
77 |
|
Consultation préalable du CEPD |
3 |
3 |
5 |
|
Projet abandonné |
2 |
2 |
0 |
Tableau 2 — Activités de contrôle du CEPD
|
2018 |
2019 |
2020 |
2021 |
|
|
Consultations |
50 99 |
75 |
59 |
52 |
|
Consultations préalables |
0 |
0 |
1 |
4 |
|
Autorisations de transfert |
0 |
1 |
0 |
4 |
|
Réclamations recevables reçues |
58 |
59 |
43 |
44 100 |
|
Décisions 101 sur les réclamations recevables |
23 |
48 |
35 |
22 |
|
Réclamations irrecevables reçues |
240 |
151 |
203 |
269 |
|
Inspections/audits effectués |
5 |
9 |
4 |
4 |
|
Enquêtes formelles menées |
0 |
4 |
1 |
2 |
|
Notifications de violation de données reçues |
7 |
95 |
121 |
82 102 |
Tableau 3 — Activités de conseil du CEPD
|
2018 |
2019 |
2020 |
2021 |
|
|
Observations |
13 |
3 |
19 |
72 |
|
Avis |
7 |
6 |
8 |
12 |
|
Avis d’initiative |
1 |
1 |
2 |
0 |
|
Avis conjoints avec le comité européen de la protection des données |
0 |
1 |
0 |
5 |
|
Observations informelles |
33 103 |
16 |
13 |
25 |
Tableau 4 — Ressources du CEPD
|
2018 |
2019 |
2020 |
2021 |
2022 (estimations) |
|
|
Nombre total de membres du personnel du CEPD (y compris le secrétariat du comité européen de la protection des données) |
98 |
100 |
118 |
126 |
139 |
|
Personnel du CEPD affecté au secrétariat du comité européen de la protection des données |
19 |
22 |
27 |
34 |
38 |
|
Budget 104 |
13 539 302 EUR (exécutés) |
15 301 687 EUR (exécutés) |
14 211 719 EUR (exécutés) |
16 761 285 EUR (exécutés) |
20 202 000 EUR (en projet) |
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (Texte présentant de l’intérêt pour l’EEE), JO L 295 du 21.11.2018, p. 39, http://data.europa.eu/eli/reg/2018/1725/oj .
Certains organes et organismes dans le domaine de la justice et des affaires intérieures disposent de règles spécifiques en matière de protection des données inscrites dans leurs actes constitutifs qui complètent le RPDUE ou s’appliquent en lieu et place de celui-ci, voir la section 6.
En vertu de l’article 101, paragraphe 2, du RPDUE, il ne s’applique à Eurojust que depuis le 12 décembre 2019.
Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, JO L 8 du 12.1.2001, p. 1, http://data.europa.eu/eli/reg/2001/45/oj .
Article 3, paragraphe 2, du RPDUE.
Troisième partie, titre V, chapitre 4 ou chapitre 5, du traité sur le fonctionnement de l’Union européenne (TFUE).
L’enquête a été envoyée aux IUE qui existaient à l’époque (liste: http://publications.europa.eu/code/fr/fr-5000900.htm ).
Les pourcentages indiqués dans le présent rapport proviennent toujours des IUE qui ont répondu à cette question précise de l’enquête.
Contrôleur européen de la protection des données, Contribution du Contrôleur européen de la protection des données au rapport sur l’application du règlement (UE) 2018/1725, «RPDUE», 21 décembre 2021, https://edps.europa.eu/system/files/2022-04/20-12-21-contribution_edps_report_eudpr_en_0.pdf.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 4.5.2016, p. 1, https://eur-lex.europa.eu/eli/reg/2016/679/oj .
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016, p. 89, http://data.europa.eu/eli/reg/2016/679/oj
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JO L 201 du 31.7.2002, p. 37, https://data.europa.eu/eli/dir/2002/58/oj .
Article 2, paragraphe 3, du RGPD et article 2, paragraphe 3, point b), de la directive en matière de protection des données dans le domaine répressif. La directive «vie privée et communications électroniques» en tant que telle ne s’applique pas, mais l’article 37 du RPDUE oblige les IUE à protéger les informations transmises ou liées à l’équipement terminal des utilisateurs ayant accès à leurs sites internet et applications mobiles accessibles au public, ou qui y sont stockées, traitées ou collectées, conformément à l’article 5, paragraphe 3, de la directive 2002/58/CE.
Voir le considérant 5 du RPDUE.
Cette omission reflète la situation qui se présentait dans le cadre du règlement (CE) n° 45/2001, son prédécesseur, qui ne comportait pas non plus de motif tiré de l’«intérêt légitime». Le considérant 22, deuxième phrase, du RPDUE précise que «[l]e traitement de données à caractère personnel effectué pour l’exécution de missions d’intérêt public par les institutions et organes de l’Union comprend le traitement de données à caractère personnel nécessaire pour [leur] gestion et [leur] fonctionnement [...]», ce qui signifie que ces traitements, par exemple pour assurer le contrôle de l’accès physique aux locaux des IUE, sont également couverts.
Chapitre IX sur le traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du TFUE.
Lignes directrices du CEPD sur les notions de responsable du traitement, de sous-traitant et de responsabilité conjointe du traitement dans le cadre du règlement (UE) 2018/1725, https://edps.europa.eu/sites/default/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_fr.pdf .
Responsabilité sur le terrain: lignes directrices du CEPD relatives à la documentation des traitements à l’intention des institutions, organes et organismes de l’Union (IUE) — Partie I: registres et évaluation des seuils, p. 7, https://edps.europa.eu/sites/default/files/publication/19-07-17_accountability_on_the_ground_part_i_en.pdf .
Article 25 du règlement (CE) 45/2001.
Article 14 du RPDUE.
Il s’agit des demandes d’informations générales et des demandes d’exercice des droits des personnes concernées au titre du chapitre II du RPDUE, tels que le droit d’avoir accès à leurs données à caractère personnel détenues par une IUE.
Article 25 du RPDUE.
Cela correspond aux possibilités de limiter les droits des personnes concernées au niveau national dans certains États membres, par exemple au moyen d’arrêtés ministériels.
Article 25, paragraphe 5, et considérant 24 du RPDUE.
Article 25, paragraphe 1, du RPDUE.
Article 25, paragraphe 6, du RPDUE.
Voir, par exemple, la décision n° 59/2021 du Secrétaire général du Conseil de l’Union européenne établissant des modalités d’exécution concernant l’application du règlement (UE) 2018/1725 du Parlement européen et du Conseil et la limitation des droits des personnes concernées aux fins des enquêtes administratives et des procédures disciplinaires et juridictionnelles 2022/C 25/02, JO C 25 du 18.1.2022, p. 2.
Décision (UE) 2018/1961 de la Commission, JO L 315 du 12.12.2018, p. 35; décision (UE) 2018/1962 de la Commission, JO L 315 du 12.12.2018, p. 41; décision (UE) 2018/1927 de la Commission, JO L 313 du 10.12.2018, p. 39.
Article 23 du RGPD.
Article 13, paragraphe 3, article 15 ou article 16 de la directive en matière de protection des données dans le domaine répressif.
Voir l’article 2, paragraphe 2, de la décision 2018/1962 de la Commission, qui fait référence à la protection des tiers visée à l’article 25, paragraphe 1, point h), du RPDUE.
Cela est également recommandé dans les lignes directrices concernant l’article 25 du RPDUE publiées par le CEPD, disponibles à l’adresse suivante: https://edps.europa.eu/system/files/2021-07/20-06-24_guidance_on_article_25_of_the_new_reg_and_intern_rules_en_465_fr.pdf
Par exemple, la Commission européenne dispose d’un délégué à la protection des données rattaché au Secrétariat général et est assistée par des coordinateurs de la protection des données dans chaque direction générale.
Article 27 du règlement (CE) n° 45/2001. Dans le cadre de ce système, les traitements, par exemple ceux qui impliquaient un traitement de données à caractère personnel relatives à la santé et à des suspicions, infractions, condamnations pénales ou mesures de sûreté, ou qui étaient destinés à évaluer des aspects de la personnalité des personnes concernées, tels que leur compétence, leur rendement ou leur comportement, devaient faire l’objet d’un «contrôle préalable» par le CEPD. Il en a résulté un grand nombre de notifications (et d’avis correspondants du CEPD) concernant des traitements très similaires, par exemple les procédures de sélection et d’évaluation du personnel relevaient de cette disposition.
Article 39 du RPDUE.
Si la publication des rapports (résumés) des AIPD n’est pas une obligation au titre du RPDUE, il s’agit d’une bonne pratique recommandée par le CEPD, voir Responsabilisation sur le terrain, partie II, p. 18 et 19, https://edps.europa.eu/system/files/2021-07/19-07-17_accountability_on_the_ground_part_ii_en_445_fr.pdf .
Article 45, paragraphe 3, du RGPD.
Article 36, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif.
Article 50 du RPDUE.
Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.
En utilisant le «Module 3» des clauses contractuelles types.
Article 29, paragraphe 4, du RPDUE.
Voir le considérant 8 de la décision d’exécution 2021/914 de la Commission et la note de bas de page 1 de l’annexe de ladite décision.
Décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil.
À l’exception de la Cour de justice de l’Union européenne agissant dans l’exercice de ses fonctions juridictionnelles, voir l’article 57, paragraphe 1, point a), et le considérant 74 du RPDUE. Dans ces affaires, le contrôle est assuré par des mécanismes spécifiques, établis par la décision de la Cour du 1er octobre 2019 instituant un mécanisme interne de contrôle en matière de traitement des données à caractère personnel effectué dans le cadre des fonctions juridictionnelles de la Cour de justice (JO C 383 du 11.11.2019, p. 2) et par la décision du Tribunal du 16 octobre 2019 instituant un mécanisme interne de contrôle en matière de traitement des données à caractère personnel effectué dans le cadre des fonctions juridictionnelles du Tribunal (JO C 383 du 11.11.2019, p. 4). En outre, l’autorité de contrôle commune du système d’information des douanes instituée par la décision 2009/917/JAI du Conseil existe toujours.
Une exception à cet égard est Eurojust, à laquelle le RPDUE s’applique depuis le 12 décembre 2019, voir l’article 101, paragraphe 2, du RPDUE.
Voir tableau 2 de l'annexe.
Pour 2020 (dernière année avec des statistiques complètes): 52 % des violations de données étaient dues à une erreur humaine; 21 % à une erreur technique; 17 % à une attaque extérieure; le reste était dû à d’autres raisons, par exemple l’utilisation abusive de comptes privilégiés.
Par exemple, en ce qui concerne les traitements relatifs au suivi des médias sociaux par le Bureau européen d’appui en matière d’asile (EASO) à l’époque: https://edps.europa.eu/sites/default/files/publication/19-11-12_reply_easo_ssm_final_reply_en.pdf . En réponse à cela, l’EASO de l’époque a mis fin aux traitements en cause.
En vertu du RGPD, des amendes peuvent être infligées directement en cas de violation, par exemple lorsqu’un responsable du traitement n’informe pas correctement les personnes concernées du traitement de leurs données à caractère personnel (articles 12 à 14 du RGPD). En vertu du RPDUE, le CEPD ne peut infliger des amendes qu’en cas de non-respect d’une injonction, par exemple pour remédier à un manquement à l’obligation d’informer correctement les personnes concernées en vertu des articles 14 à 16 du RPDUE.
67 % des IUE ont déclaré avoir reçu des conseils du CEPD suffisamment rapidement ou relativement rapidement, tandis que 33 % d’entre elles ont émis un avis neutre ou ont déclaré que de tels conseils étaient (pour la plupart) arrivés trop tard.
Article 42 du RPDUE.
Pour les actes d’exécution et les actes délégués, la consultation formelle peut avoir lieu parallèlement à la période de retour d’information du public pour les projets d’actes d’exécution et d’actes délégués.
Le CEPD qualifie d’«avis» les réponses aux propositions législatives et aux recommandations au titre de l’article 218 du TFUE. Les réponses concernant les actes d’exécution ou les actes délégués sont appelées «observations»; voir également la décision du Contrôleur européen de la protection des données du 15 mai 2020 portant adoption du règlement intérieur du CEPD, JO L 204 du 26.6.2020, p. 49, http://data.europa.eu/eli/proc_rules/2020/626/oj .
Avis préliminaire 8/2020 du CEPD sur l’espace européen des données de santé, https://edps.europa.eu/data-protection/our-work/publications/opinions/preliminary-opinion-82020-european-health-data-space_fr
Article 42, paragraphe 2, du RPDUE.
Article 42 du RPDUE.
Conformément à l’article 61 du RPDUE, le CEPD coopère également avec l’autorité de contrôle commune instituée en vertu de l’article 25 de la décision 2009/917/JAI du Conseil.
Par exemple, le système d’information Schengen, le système d’information sur les visas et Eurodac. Voir le règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) nº 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission, JO L 312 du 7.12.2018, p. 56; règlement (CE) nº 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour, JO L 218 du 13.8.2008, p. 60; et règlement (UE) n° 603/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif à la création d'Eurodac pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (UE) n° 604/2013 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale introduite dans l'un des États membres par un ressortissant de pays tiers ou un apatride et relatif aux demandes de comparaison avec les données d'Eurodac présentées par les autorités répressives des États membres et Europol à des fins répressives, et modifiant le règlement (UE) n° 1077/2011 portant création d'une agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle au sein de l'espace de liberté, de sécurité et de justice, JO L 180 du 29.6.2013, p. 1.
Article 62 du RPDUE.
Règlement (UE) 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) nº 1024/2012, JO L 295 du 21.11.2018, p. 1.
Règlement (UE) 2019/816 du Parlement européen et du Conseil du 17 avril 2019 portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN), qui vise à compléter le système européen d’information sur les casiers judiciaires, et modifiant le règlement (UE) 2018/1726, JO L 135 du 22.5.2019, p. 1.
Article 42, paragraphe 2, du règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil, JO L 295 du 21.11.2018, p. 138.
Voir les modifications à l’article 44, paragraphe 2, du règlement Europol introduites par le règlement (UE) 2022/991 du Parlement européen et du Conseil du 8 juin 2022 modifiant le règlement (UE) 2016/794 en ce qui concerne la coopération d’Europol avec les parties privées, le traitement de données à caractère personnel par Europol à l’appui d’enquêtes pénales et le rôle d’Europol en matière de recherche et d’innovation, JO L 169 du 27.6.2022, p. 1.
Article 57 du règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d'application de l'accord de Schengen et modifiant et abrogeant le règlement (CE) n° 1987/2006, JO L 312 du 7.12.2018, p. 14, et article 71 du règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) n° 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission, JO L 312 du 7.12.2018, p. 56.
Règlement (UE) n° 1053/2013 du Conseil du 7 octobre 2013 portant création d’un mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d’une commission permanente d’évaluation et d’application de Schengen, JO L 295 du 6.11.2013, p. 27.
Article 10, paragraphe 5, du règlement (UE) n° 1053/2013 du Conseil du 7 octobre 2013.
Article 57, paragraphe 1, point l), du RPDUE.
Voir tableau 4 de l'annexe.
EDPB statement on closer cooperation on strategic files (déclaration du comité européen de la protection des données sur une coopération plus étroite concernant les dossiers stratégiques), 29 avril 2022: DPAs decide on closer cooperation for strategic files | Comité européen de la protection des données (europa.eu) .
Chapitre VII du RGPD.
COM(2021) 206 final.
Voir l’article 47 du RPDUE, qui permet aux IUE de se fonder sur les décisions d’adéquation adoptées au titre du RGPD et de la directive en matière de protection des données dans le domaine répressif, ainsi que l’article 14, paragraphe 8, du RPDUE relatif aux actes délégués sur les icônes au titre de l’article 12, paragraphe 8, du RGPD.
Article 29, paragraphe 7, du RPDUE.
Article 28, paragraphe 7, du RGPD.
Décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE), JO L 199 du 7.6.2021, p. 18, https://eur-lex.europa.eu/legal-content/AUTO/?uri=CELEX:32021D0915 .
Article 48, paragraphe 2, point b), du RPDUE.
Article 98, paragraphe 2, du RPDUE.
Article 26 du règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil, JO L 295 du 21.11.2018, p. 138.
Article 28 du règlement Europol modifié (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI.
Règlement (UE) 2022/991 du Parlement européen et du Conseil du 8 juin 2022 modifiant le règlement (UE) 2016/794 en ce qui concerne la coopération d’Europol avec les parties privées, le traitement de données à caractère personnel par Europol à l’appui d’enquêtes pénales et le rôle d’Europol en matière de recherche et d’innovation, JO L 169 du 27.6.2022, p. 1.
Voir l’article 10, paragraphe 1, point q), et l’article 90 du règlement (UE) 2019/1896 du Parlement européen et du Conseil du 13 novembre 2019 relatif au corps européen de garde-frontières et de garde-côtes et abrogeant les règlements (UE) n° 1052/2013 et (UE) 2016/1624, JO L 295 du 14.11.2019, p. 1, https://eur-lex.europa.eu/eli/reg/2019/1896/oj .
L’article 61, paragraphe 4, du règlement sur le Parquet européen n’autorise le traitement de données «limitées» «à l'exception de la conservation, [...] que pour la protection des droits de la personne concernée ou d'une autre personne physique ou morale qui est partie à la procédure du Parquet européen, ou pour les finalités [probatoires]». L’article 82, paragraphe 3, correspondant du RPDUE dispose que «les données soumises à limitation ne sont traitées que pour les finalités qui ont empêché leur effacement», ce qui inclut la conservation des données à des fins probatoires, sans toutefois faire référence à la protection des droits de la personne concernée ou d’autres.
L’expérience acquise avec Eurojust et Europol n’est pas directement transposable au Parquet européen, étant donné que ce dernier n’a pas pour mission de soutenir et de renforcer la coopération entre les autorités nationales, mais d’enquêter sur les infractions portant atteinte aux intérêts financiers de l’UE et d’engager des poursuites en la matière.
Article 2, paragraphe 2, du RPDUE.
Par exemple, en ce qui concerne l’obligation de coopération incombant aux responsables du traitement en vertu de l’article 32 du RPDUE, les règles relatives aux délégués à la protection des données énoncées aux articles 43 à 45 du RPDUE, l’article 31 sur la tenue de registres des activités de traitement et la coopération avec d’autres autorités de contrôle au titre de l’article 61 du RPDUE.
Le cadre juridique spécifique de ces organes et organismes devrait encore être établi conformément aux exigences du RPDUE, par exemple l’article 72 sur la fixation des délais de conservation. Toutefois, il ne serait pas nécessaire de réglementer les droits des personnes concernées ni les pouvoirs du CEPD, à moins que le législateur ne choisisse spécifiquement de s’écarter de l’approche du RPDUE.
Article 85 du règlement sur le Parquet européen, article 40 du règlement Eurojust et article 43 du règlement Europol.
Certaines tâches du CEPD qui ne sont pas pertinentes pour Europol, par exemple l’approbation de clauses contractuelles types, ne sont pas répétées.
En vertu de l’article 85, paragraphe 3, point b), du règlement sur le Parquet européen et de l’article 40, paragraphe 3, point b), du règlement Eurojust, en cas de violation alléguée des dispositions régissant le traitement des données opérationnelles à caractère personnel, le CEPD peut uniquement saisir le Parquet européen ou Eurojust et, le cas échéant, formuler des propositions tendant à remédier à cette violation et à améliorer la protection des personnes concernées.
Voir l’article 10, paragraphe1, point q), et l’article 90 du règlement Frontex.
En vertu de l’article 1er, paragraphe 3, du RPDUE, le CEPD «contrôle[...] l’application des dispositions du présent règlement à tous les traitements effectués par une institution ou un organe de l’Union». Bien que cette disposition puisse être interprétée comme s’appliquant également aux activités relevant du chapitre répressif, il serait utile de l’expliciter à des fins de sécurité juridique.
Si le RGPD devait être modifié à un stade ultérieur, la Commission envisagera les modifications nécessaires du RPDUE afin de conserver l’alignement entre les deux textes.
Proposition de règlement du Parlement européen et du Conseil établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l’Union, COM(2022) 122 final.
Article 62 du RPDUE.
Conformément à l’article 48, paragraphe 2, point b), du RPDUE.
Conformément à l’article 42 du RPDUE.
Deux d’entre elles ont fait suite à l’entrée en vigueur du RPDUE.
Au 15 novembre 2021.
Y compris les dossiers clôturés par règlement amiable, par saisine du DPD et par d’autres moyens de clôturer les dossiers.
À la mi-novembre 2021.
En vertu du précédent règlement (CE) n° 45/2001, le CEPD a comptabilisé les consultations sur les actes délégués/actes d’exécution sous la rubrique des observations «informelles». Un certain nombre d’observations énumérées dans les observations informelles pour 2018 auraient été comptabilisées dans les «observations formelles» les années suivantes.
Ces chiffres ont été mis à jour par rapport aux chiffres figurant dans la contribution du CEPD au présent rapport.
