19.1.2008   

FR

Journal officiel de l'Union européenne

C 14/1

1.

La Commission a soumis la proposition de règlement du Parlement européen et du Conseil établissant des règles communes sur les conditions à respecter pour exercer la profession de transporteur par route (ci-après dénommée «la proposition») au CEPD pour avis, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD l'a reçue le 29 mai 2007. Une version révisée de la proposition lui est parvenue le 6 juillet 2007. Le CEPD note avec satisfaction que le préambule du règlement proposé par la Commission mentionne qu'il est consulté.

2.

L'objectif de la proposition est de remplacer la directive 96/26/CE du Conseil du 29 avril 1996 concernant l'accès à la profession de transporteur de marchandises et de transporteur de voyageurs par route ainsi que la reconnaissance mutuelle des diplômes, certificats et autres titres visant à favoriser l'exercice effectif de la liberté d'établissement de ces transporteurs dans le domaine des transports nationaux et internationaux (3), afin de remédier à ses insuffisances. La directive établit des exigences minimales d'honorabilité, de capacité financière et de capacité professionnelle auxquelles les entreprises doivent répondre. Comme expliqué dans l'exposé des motifs de la proposition, la directive 96/26/CE fait partie d'un cadre législatif qui définit le marché intérieur du transport routier; or, elle est mal ou inégalement appliquée car ambiguë, incomplète ou devenue inadaptée à l'évolution du secteur. Cette situation étant considérée comme nuisant à la concurrence loyale, de nouvelles règles sont nécessaires pour permettre le bon fonctionnement du marché intérieur dans le secteur du transport routier.

3.

La proposition reprend plusieurs dispositions de la directive 96/26/CE et comporte également certains éléments nouveaux, énumérés au point 3.1 de l'exposé des motifs. Dans le cadre de sa mission consistant à conseiller les institutions et organes communautaires sur toutes les questions relatives au traitement des données à caractère personnel, le CEPD n'examinera pas chacun de ces points, mais il se concentrera sur ceux qui revêtent une importance particulière au regard de la protection des données à caractère personnel. La proposition introduit en particulier des registres électroniques interconnectés entre tous les États membres pour faciliter l'échange d'informations entre les États membres; elle prévoit en outre l'obligation pour les autorités d'avertir le transporteur lorsqu'elles constatent qu'il ne répond plus aux exigences d'honorabilité, de capacité financière et de capacité professionnelle, obligation qui figure parmi une série de règles visant à assurer le respect de ces exigences.

4.

La proposition comporte donc des éléments impliquant le traitement de données à caractère personnel: ainsi, les registres susmentionnés contiennent des données à caractère personnel (article 15 de la proposition). À ce sujet, il faut souligner que la proposition comprend des droits et des obligations pour les entreprises aussi bien que pour les gestionnaires de transport. Il découle de la définition de l'article 1er, paragraphe 2, point d), que non seulement les gestionnaires de transport, mais aussi les entreprises, peuvent être des personnes physiques, auquel cas, le traitement des données concernant les entreprises entre dans le champ d'application de la législation sur la protection des données.

5.

Dans le présent avis, le CEPD examine les articles suivants de la proposition:

6.

L'article 6 définit les conditions relatives à l'exigence d'honorabilité. Une de ces conditions, figurant au paragraphe 1, point b), concerne par définition le comportement de personnes physiques et entre dans le champ d'application de la législation communautaire sur le traitement des données à caractère personnel. Les autres conditions, figurant aux points a) et c), peuvent concerner le comportement de personnes physiques.

7.

Selon le paragraphe 1, point b), le gestionnaire de transport ne peut avoir fait l'objet de condamnations ou de sanctions pour des infractions graves ou des infractions mineures répétées. Toutefois, la proposition ne définit pas clairement la différence entre infractions graves et infractions mineures. Le considérant 8 comporte une indication à cet égard: il fait état «[…] de condamnations pénales graves ou de sanctions graves, notamment pour violation des réglementations communautaires dans le domaine du transport par route», ce qui n'apporte cependant pas suffisamment d'éclaircissements. Par exemple, une condamnation liée à des règles communautaires sur les temps de conduite et de repos des conducteurs constitue-t-elle une «infraction grave» ou non? Ou encore, dans quelles conditions les condamnations non liées à des règles sur le transport routier sont-elles considérées comme «graves»?

8.

Un règlement d'application établi par la Commission (assistée par un comité de réglementation avec contrôle composé des représentants des États membres) apportera plus de précisions à ce sujet. Il comportera une liste de catégories, types et niveaux de gravité des infractions, ainsi que la fréquence d'occurrence au-delà de laquelle des infractions mineures répétées engendrent la perte d'honorabilité (article 6, paragraphe 2). Le CEPD insiste sur l'importance de ce règlement d'application. Le point 4.2.4. de l'exposé des motifs indique à juste titre que cette liste est un préalable à tout échange d'information entre États membres et à la définition de seuils communs à partir desquels une autorisation doit être retirée (4). Le CEPD la considère en outre comme un instrument nécessaire à l'application des principes relatifs à la qualité des données (5), comme ceux qui exigent que les données à caractère personnel soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles ont été collectées et qu'elles soient exactes et mises à jour. Cette liste est également nécessaire en termes de sécurité juridique des personnes concernées. Enfin, il faut garder à l'esprit que les données relatives à des infractions sont essentielles pour évaluer les compétences des personnes à exercer leur profession de gestionnaires de transport et que le traitement de ces données présente également un risque évident du point de vue de la protection de la vie privée, et ce d'autant que ces données détermineront le contenu des registres électroniques nationaux visés à l'article 15 de la proposition.

9.

Le CEPD estime que le règlement d'application comportera des éléments essentiels du système réglant l'accès à la profession de transporteur par route et l'exercice de cette profession, qui sont l'objet de la proposition en vertu de son article 1er. Il aurait par conséquent été préférable de fixer au moins les principaux éléments de la liste visée à l'article 6, paragraphe 2, dans la proposition elle-même — éventuellement dans une annexe — avec plus de détails que n'en présente l'article 6, paragraphe 2, points a) à c). Le CEPD propose de modifier la proposition dans ce sens, ce qui la rendrait également conforme aux principes relatifs à la qualité des données. Il désapprouve toute suggestion pouvant découler de l'article 6, paragraphe 2, à savoir que la liste ne contienne que des éléments non essentiels.

10.

Le CEPD appelle aussi l'attention sur l'article 6, paragraphe 1, point a), de la proposition, qui prévoit que les États membres veillent à ce que les entreprises répondent à la condition selon laquelle aucun motif sérieux ne met en doute leur honorabilité. La proposition et l'exposé des motifs ne donnent pas d'indications sur la façon dont les États membres doivent préciser cette norme floue, qui vise apparemment des situations dans lesquelles l'honorabilité de l'entreprise ou du gestionnaire de transport est mise en cause alors qu'aucune condamnation ou sanction n'a été prononcée à leur encontre. Le CEPD suggère que le législateur communautaire précise les situations que cette disposition entend couvrir, particulièrement au regard de l'objectif de la proposition qu'est l'amélioration du fonctionnement du marché intérieur dans le secteur du transport routier. Ce point est encore plus important du point de vue de la protection des données, puisque les entreprises peuvent être des personnes physiques et que la loi sur la protection des données qui les concernent sera d'application.

11.

Les articles 9 à 14 portant sur l'autorisation et la surveillance définissent le rôle central que jouent les autorités compétentes des États membres dans la mise en œuvre du système. Les pouvoirs reconnus aux autorités compétentes sont énumérés à l'article 9: examen des demandes introduites par les entreprises de transport par route, octroi, suspension et retrait des autorisations, déclarations d'inaptitude visant des gestionnaires de transport et contrôles.

12.

Le CEPD se félicite de ce rôle central reconnu aux autorités compétentes, qui implique aussi, en tant qu'élément incontournable de leurs activités, des responsabilités en matière de traitement des données à caractère personnel. À ce sujet, il a relevé dans la proposition certaines ambiguïtés qui peuvent être facilement levées sans rien changer au système lui-même. Premièrement, l'article 10 traite, d'après son titre, de l'enregistrement des demandes. Or, le paragraphe 2 semble concerner l'enregistrement des autorisations. Si le législateur communautaire a également voulu viser l'enregistrement des demandes — y compris celui du nom du gestionnaire de transport — il faut que cette intention soit explicite. Deuxièmement, les autorités compétentes se voient attribuer des tâches liées à l'enregistrement dans les registres électroniques nationaux, sans être toutefois rendues explicitement responsables de ces registres (voir le point 17 du présent avis).

13.

Les mesures de réhabilitation constituent un sujet à part dans le chapitre consacré à l'autorisation et à la surveillance. Selon l'article 6, paragraphe 3, il faut une réhabilitation ou toute autre mesure ayant un effet équivalent pour rétablir l'honorabilité. Aux termes de l'article 14, paragraphe 1, les décisions prises par les États membres concernant l'accès à la profession de gestionnaire de transporteur, le retrait ou la suspension de cette autorisation et la déclaration d'inaptitude doivent préciser les mesures de réhabilitation. Toutefois, la proposition laisse entièrement à l'appréciation des États membres la motivation et le contenu de la mesure de réhabilitation ainsi que la période durant laquelle elle doit être appliquée. Il aurait été préférable de limiter le pouvoir d'appréciation des États membres, ce qui aurait permis de contribuer aussi bien au bon fonctionnement du marché intérieur du transport par route, qu'à la bonne application des principes relatifs à la qualité des données et à la sécurité juridique des personnes concernées.

14.

L'article 15, paragraphe 1, prévoit que chaque État membre tient un registre national des transporteurs par route autorisés. Les données qu'il contient, énumérées dans la deuxième partie du paragraphe, comprennent des données à caractère personnel. Or, certaines de celles-ci présentent des risques particuliers pour la personne concernée, comme les noms des personnes déclarées inaptes à la direction de l'activité de transport d'une entreprise (6).

15.

Le CEPD se félicite que l'accès à ces registres soit clairement limité aux autorités nationales concernées qui ont des compétences dans le domaine couvert par la proposition. De même, la finalité des registres est clairement limitée à la mise en œuvre du règlement, définie aux articles 10 à 13 de la proposition, ainsi qu'à l'établissement des rapports sur le fonctionnement du règlement prévu à l'article 26 de la proposition.

16.

L'article 15, paragraphe 2, prévoit que les données concernant une entreprise dont l'autorisation a été suspendue ou retirée ou concernant des personnes déclarées inaptes à la profession restent dans le registre pendant deux ans. Le CEPD note avec satisfaction cette limitation à une période fixe de conservation de deux ans. Néanmoins, le texte devrait aussi prévoir que les données concernant des personnes déclarées inaptes à l'exercice de la profession soient retirées du registre immédiatement après qu'une mesure de réhabilitation a été prise conformément à l'article 6, paragraphe 3. Sur ce point, le lecteur pourra se reporter à l'article 6, paragraphe 1, point e), de la directive 95/46/CE (7).

17.

Par ailleurs, le texte du règlement devrait préciser à qui incombe la responsabilité de tenir un registre et de traiter les données qu'il contient. Pour reprendre les termes de la directive 95/46/CE: quelle est l'entité «responsable du traitement»? (8) En toute logique, c'est l'autorité compétente qui devrait être considérée comme responsable du traitement, mais la proposition ne le dit pas. Le CEPD propose de préciser ce point dans la proposition, et ce d'autant que le règlement prévoit l'interconnexion des registres électroniques nationaux d'ici la fin de l'année 2010 ainsi que la désignation d'un point de contact pour l'échange d'informations entre les États membres. Toutes les autorités compétentes ne seront toutefois pas des points de contact: il y en aura un par État membre, alors que celui-ci pourra avoir plusieurs autorités compétentes.

18.

Cela nous mène à faire une observation sur l'interconnexion des registres électroniques nationaux. Aux termes de l'article 15, paragraphe 4, l'interconnexion est mise en œuvre de manière à ce qu'une autorité compétente de n'importe quel État membre puisse interroger le registre électronique de tous les États membres. Autrement dit, la proposition prévoit un système d'accès direct. Comme le CEPD l'a expliqué dans son avis sur la proposition de décision-cadre du Conseil relative à l'échange d'informations en vertu du principe de disponibilité (9), l'accès direct multipliera automatiquement le nombre de personnes qui auront accès à une base de données et donc les risques d'utilisation abusive. Dans le cas où une autorité compétente d'un autre État membre a directement accès aux données, les autorités de l'État membre d'origine n'ont aucun contrôle sur l'accès aux données et leur utilisation ultérieure. Par exemple, comment l'autorité compétente de l'État membre d'origine peut-elle s'assurer que l'autorité d'un autre État membre qui a accédé aux données sera informée des modifications apportées ultérieurement au registre?

19.

Ces questions devraient être traitées dans les décisions relatives aux interconnexions que la Commission prendra au titre de l'article 15, paragraphes 5 et 6, de la proposition. Le CEPD se félicite en particulier de ce que la Commission adoptera des modalités communes relatives au format des données et aux procédures techniques pour interroger automatiquement les registres. Dans tous les cas, il ne devrait y avoir le moindre doute quant aux responsabilités concernant l'accès aux données et leur utilisation ultérieure. Le CEPD suggère d'ajouter la phrase suivante à l'article 15, paragraphe 5: «Ces modalités communes devraient établir quelle est l'autorité responsable de l'accès aux données, de leur utilisation ultérieure et de leur mise à jour après l'accès et devraient comporter à cet effet des règles sur l'enregistrement et le contrôle des données.»

20.

L'article 16 concerne la protection des données à caractère personnel. Il confirme d'emblée que la directive 95/46/CE s'applique pleinement aux données à caractère personnel présentes dans les registres. Ce début souligne l'importance de la protection des données et peut être considéré comme une introduction aux dispositions plus spécifiques figurant aux points a), b), c) et d).

21.

Le CEPD estime que ces dispositions plus spécifiques de l'article 16 n'apportent pas une véritable valeur ajoutée: elles rappellent les droits de la personne concernée énoncés dans la directive 95/46/CE (aux articles 12 et 14) de façon simplifiée et sans apporter la moindre précision (excepté l'élément cité au point 23 du présent avis). En outre, cette simplification quant aux droits de la personne concernée entraîne une insécurité juridique et pourrait donc affaiblir la protection de cette personne. L'article 16 de la proposition ne dit pas clairement si les dispositions plus spécifiques de la directive 95/46/CE s'appliquent pleinement aux demandes des personnes concernées relatives aux informations dont elles font l'objet dans le cadre de la proposition. Cette disposition — qui est une lex specialis par rapport aux articles 12 et 14 de la directive 95/46/CE — établit qu'en particulier les éléments figurant aux points a), b), c) et d) sont assurés. D'après le CEPD, cela ne devrait pas signifier que les autres éléments ne sont pas assurés, mais le texte n'est pas parfaitement clair à cet égard.

22.

En revanche, l'article 16 pourrait apporter une valeur ajoutée en précisant les droits visés dans la directive. Par exemple, il pourrait:

23.

Le point b) comporte une limitation du droit d'accès prévu à l'article 12 de la directive 95/46/CE qui est incompatible avec la dite directive: il précise que l'accès doit être assuré sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs ni pour l'autorité responsable du traitement des données ni pour le demandeur. Or, l'article 12 de la directive 95/46/CE entend protéger la personne concernée lorsqu'elle exige que l'accès soit sans contrainte et sans délais ou frais excessifs. Le CEPD suggère donc de modifier le point b) pour le rendre compatible avec la directive 95/46 en supprimant les termes «pour l'autorité qui est responsable du traitement de ces données». S'il existe des inquiétudes au sujet des frais afférents aux demandes d'accès, il faut noter que les termes «frais excessifs» utilisés à l'article 12 de la directive n'interdisent pas au responsable du traitement des données de demander une contribution financière modeste (assez modeste pour ne pas dissuader la personne concernée d'exercer son droit). De plus, le droit national permet en principe aux autorités d'empêcher que certaines personnes concernées n'abusent de leurs droits.

24.

Le CEPD suggère que l'article 16 soit réécrit en tenant compte des points qui précèdent.

25.

Enfin, la directive 95/46/CE, et plus précisément l'article 16 de la proposition, s'appliquent aussi à la coopération administrative entre États membres (qui fait l'objet de l'article 17) puisque l'échange entre États membres d'informations relatives aux condamnations et aux sanctions touchant des personnes physiques est considéré comme un traitement de données à caractère personnel. Cela signifie entre autres que les personnes concernées devraient être informées, conformément à la directive 95/46/CE et à l'article 16, point a), du règlement.

26.

Le CEPD suggère que le législateur communautaire précise, au regard de l'objectif de la proposition qu'est l'amélioration du fonctionnement du marché intérieur dans le secteur du transport routier les situations que l'article 6, paragraphe 1, entend couvrir. Il suggère par ailleurs de modifier la proposition pour qu'elle fixe, dans son texte même — éventuellement dans une annexe — au moins les principaux éléments de la liste visée à l'article 6, paragraphe 2, avec plus de détails que n'en présente l'article 6, paragraphe 2, points a) à c).

27.

Le CEPD se félicite du rôle central reconnu aux autorités compétentes, qui implique aussi, en tant qu'élément incontournable de leurs activités, des responsabilités en matière de traitement des données à caractère personnel. À ce sujet, il a relevé dans la proposition certaines ambiguïtés qui peuvent être facilement levées sans rien changer au système lui-même.

28.

Le CEPD se félicite que l'accès aux registres électroniques nationaux et la finalité de ceux-ci soient clairement limités. Il note également avec satisfaction la limitation de la conservation des données à une période fixe de deux ans. Néanmoins, le texte devrait aussi prévoir que les données concernant des personnes déclarées inaptes à l'exercice de la profession soient retirées du registre immédiatement après qu'une mesure de réhabilitation a été prise conformément à l'article 6, paragraphe 3.

29.

Le texte du règlement devrait préciser à qui incombe la responsabilité de tenir un registre et de traiter les données qu'il contient. Concernant l'interconnexion des registres électroniques nationaux, il faudrait ajouter la phrase suivante à l'article 15, paragraphe 5: «Ces modalités communes devraient établir quelle est l'autorité responsable de l'accès aux données, de leur utilisation ultérieure et de leur mise à jour après l'accès et devraient comporter à cet effet des règles sur l'enregistrement et le contrôle des données.»

30.

Le CEPD suggère que l'article 16 sur la protection des données soit réécrit en tenant compte des nécessités suivantes: