26.7.2011   

FR

Journal officiel de l'Union européenne

C 220/1


Avis du contrôleur européen de la protection des données sur la proposition de directive du Parlement européen et du Conseil modifiant les directives 89/666/CEE, 2005/56/CE et 2009/101/CE en ce qui concerne l’interconnexion des registres centraux, du commerce et des sociétés

2011/C 220/01

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu la demande d’avis formulée conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2),

A ADOPTÉ L’AVIS SUIVANT:

I.   INTRODUCTION

1.

Le 24 février 2011, la Commission européenne a adopté une proposition de directive du Parlement européen et du Conseil modifiant les directives 89/666/CEE, 2005/56/CE et 2009/101/CE en ce qui concerne l’interconnexion des registres centraux, du commerce et des sociétés (3) (ci-après la «proposition») et a ensuite consulté le CEPD.

2.

Le CEPD se félicite d’avoir été consulté comme le prévoit l’article 28, paragraphe 2, du règlement (CE) no 45/2001 et qu’une référence au présent avis soit incluse dans le préambule de la proposition.

1.1.   Objectifs de la proposition

3.

La proposition vise à faciliter et à renforcer la coopération transfrontalière et l’échange d’informations entre les registres du commerce dans l’Espace économique européen et à accroître ainsi la transparence ainsi que la fiabilité des informations disponibles par-delà les frontières. Des procédures efficaces de coopération administrative en ce qui concerne les registres du commerce sont déterminantes afin d’accroître la confiance dans le marché unique européen, en offrant un environnement économique plus sûr aux consommateurs, aux créanciers et autres partenaires des entreprises, en réduisant les charges administratives et en contribuant à une plus grande sécurité juridique. Le renforcement des procédures de coopération administrative pour les registres du commerce dans toute l’Europe est particulièrement important pour les fusions transfrontalières, les transferts du siège social et l’actualisation des informations contenues dans les registres des succursales étrangères lorsque les mécanismes de coopération font actuellement défaut ou sont limités.

4.

À cette fin, la proposition vise à modifier trois directives existantes de la manière suivante:

les modifications qu’il est proposé d’apporter à la directive 2009/101/CE (4) visent à faciliter l’accès transfrontalier à l’information officielle sur les sociétés par i) la création d’un réseau électronique des registres du commerce et ii) la définition d’un socle minimum commun d’informations à jour devant être mises à la disposition des tiers par voie électronique, via une plateforme ou un point d’accès multilingue européen commun;

les modifications qu’il est proposé d’apporter à la directive 89/666/CEE (5) visent à garantir que le registre du commerce d’une société particulière fournit des informations à jour sur le statut de cette société aux registres du commerce de ses succursales étrangères, où qu’elles soient établies en Europe; et enfin,

les modifications qu’il est proposé d’apporter à la directive 2005/56/CE (6) visent à améliorer le cadre de coopération administrative entre les registres du commerce dans les procédures transfrontalières de fusion.

1.2.   Contexte de la proposition

5.

Les registres du commerce existent dans tous les États membres; ils sont gérés au niveau local, régional ou national. En 1968, des règles communes ont été adoptées pour établir des normes minimales de publicité (enregistrement et publication) de l’information sur les sociétés (7). Depuis le 1er janvier 2007, les États membres doivent également tenir des registres électroniques du commerce (8) et permettre aux tiers d’accéder au contenu du registre en ligne.

6.

La coopération concernant les registres du commerce de différents États membres est explicitement requise par certains instruments juridiques européens afin de faciliter les fusions transfrontalières des sociétés de capitaux (9) et le transfert transfrontalier du siège de la société européenne (SE) (10) et de la société coopérative européenne (SCE) (11).

7.

En 1992, un mécanisme de coopération volontaire a été créé en ce qui concerne les registres du commerce en Europe. Le dénommé «registre européen du commerce» («EBR») (12) rassemble désormais les registres officiels du commerce de 19 États membres et de six autres juridictions européennes. Entre 2006 et 2009, l’EBR a participé à un projet de recherche intitulé BRITE (13) dont l’objectif était de développer une plateforme technologique pour l’interopérabilité des registres du commerce à travers l’Europe. L’analyse d’impact qui accompagne la proposition explique cependant que l’EBR est confronté à des difficultés importantes en ce qui concerne son expansion, son financement et sa gouvernance: selon cette analyse, le mécanisme de coopération, sous sa forme actuelle, n’est pas pleinement satisfaisant pour les utilisateurs potentiels.

1.3.   Synergies avec d’autres initiatives

8.

L’exposé des motifs qui accompagne la proposition note que le portail e-Justice européen (14) doit devenir le point d’accès central aux informations juridiques, mais aussi aux organismes, registres, bases de données et autres services de nature juridique ou administrative existant dans l’UE. Il confirme également que la proposition est complémentaire du projet e-Justice et qu’elle devrait contribuer à un accès plus aisé des tiers à l’information sur les sociétés via le portail.

9.

Selon l’analyse d’impact, un autre projet important qui offre des synergies potentielles est le système d’information du marché intérieur (IMI) (15). L’IMI est un outil électronique conçu pour prendre en charge la coopération administrative courante entre les administrations publiques dans le cadre de la directive sur les services (2006/123/CE) et de la directive sur la reconnaissance des qualifications professionnelles (2005/36/CE). L’IMI est en cours d’expansion et pourrait, selon l’analyse d’impact, également contribuer à la mise en œuvre d’autres directives, y compris dans le domaine du droit des sociétés.

II.   DISPOSITIONS PERTINENTES DE LA PROPOSITION

10.

L’article 3 de la proposition modifie la directive 2009/101/CE à plusieurs égards. Deux modifications présentent un intérêt considérable pour la protection des données.

2.1.   Publication de l’information via une plateforme ou un point d’accès électronique européen commun

11.

L’article 2 de la directive 2009/101/CE telle qu’actuellement en vigueur requiert déjà que certaines informations minimales soient publiées dans un registre du commerce dans chaque État membre afin que les tiers puissent vérifier certaines informations concernant les sociétés. Comme expliqué à la section 1.2 ci-dessus, les États membres doivent également tenir des registres électroniques du commerce et permettre aux tiers d’accéder au contenu de ces registres en ligne.

12.

L’article 2 énumère onze points d’informations de base sur les sociétés qui doivent être publiés, dont les suivants:

l’acte constitutif, les statuts, et les modifications y afférentes,

le montant du capital souscrit,

les documents comptables,

tout transfert du siège social,

la dissolution; la décision judiciaire prononçant la nullité; la nomination des liquidateurs; la clôture de la liquidation; la radiation du registre.

13.

Aspect important du point de vue de la protection des données, l’article 2 requiert également la publication d’indications portant sur «la nomination, la cessation des fonctions ainsi que l’identité» (soulignement ajouté) des personnes qui i) ont le pouvoir d’engager la société et/ou ii) participent «à l’administration, à la surveillance ou au contrôle» de la société.

14.

La liste des points qui doivent être publiés au titre de l’article 2 n’a pas été modifiée par la proposition. Le fait que chaque État membre doive mettre ces informations à la disposition du public sous une forme électronique ne constitue pas non plus une nouvelle obligation. La nouveauté de la proposition réside dans le fait que les informations qui, jusqu’à présent, étaient disponibles de manière fragmentée, souvent uniquement dans des langues locales et via des sites web locaux, seront désormais facilement accessibles, via une plateforme ou un point d’accès européen commun, dans un environnement multilingue.

15.

À cet effet, la proposition insérerait un nouvel article 3 bis dans la directive, lequel disposerait que «[l]es États membres veillent à ce que les actes et indications visés à l’article 2 qui ont été déposés auprès de leur registre puissent être obtenus sur demande, par tout demandeur, par voie électronique via une plateforme électronique européenne unique accessible depuis chacun d’entre eux». La proposition laisse aux actes délégués le soin de déterminer l’ensemble des autres détails.

2.2.   Interopérabilité et interconnexion des registres du commerce: mise en place d’un réseau électronique

16.

La proposition insérerait également un nouvel article 4 bis dans la même directive 2009/101/CE, disposant que «[l]es États membres prennent les mesures nécessaires pour garantir que les [registres du commerce] sont interopérables et forment un réseau électronique». La proposition, là encore, s’en remet aux actes délégués pour déterminer les autres détails.

2.3.   Dispositions relatives à la protection des données

17.

Afin de tenir compte des préoccupations en matière de protection des données, la proposition insérerait dans le texte des trois directives à modifier un article spécifique sur la protection des données exigeant que «[l]e traitement des données à caractère personnel effectué dans le contexte de [la] directive [soit] soumis aux dispositions de la directive 95/46/CE».

III.   OBSERVATIONS ET RECOMMANDATIONS DU CEPD

3.1.   Introduction: satisfaire aux exigences de la transparence et du respect de la vie privée

18.

Le CEPD partage le point de vue de la Commission selon lequel i) l’utilisation des technologies de l’information et de la communication peut contribuer à accroître l’efficacité de la coopération en ce qui concerne les registres du commerce et ii) une meilleure accessibilité des informations contenues dans les registres du commerce peut se traduire par une transparence accrue. Par conséquent, il approuve les objectifs de la proposition. Ses observations doivent être appréciées à la lumière de cette approche constructive.

19.

Par ailleurs, le CEPD souligne également qu’une meilleure accessibilité des données à caractère personnel entraîne également des risques accrus pour celles-ci. Par exemple, alors que l’identification correcte du représentant d’une société peut être facilitée si son adresse personnelle est publiée, cette publication pourrait également avoir un impact négatif sur le droit de cette personne à la protection des données à caractère personnel la concernant. C’est notamment le cas pour les données à caractère personnel qui sont largement diffusées sur l’internet au format numérique dans de multiples langues et via une plateforme ou un point d’accès européen facilement accessible.

20.

Il n’y a pas si longtemps que cela, les données à caractère personnel contenues dans les registres du commerce (p. ex. le nom, l’adresse et le spécimen de signature d’un administrateur) étaient publiées au format papier et dans une langue locale, souvent après une seule visite du demandeur en personne à un bureau local du registre. Il est important de reconnaître que cette situation est qualitativement différente de la publication de données au format numérique via un point d’accès électronique national. La publication de données à caractère personnel via une plateforme ou un point d’accès paneuropéen facilement accessible va encore plus loin et accroît davantage l’accessibilité des informations, ainsi que les risques pour la protection des données à caractère personnel des personnes concernées.

21.

On recense parmi les risques d’atteinte à la vie privée (en raison de la facilité d’accès des données au format numérique via un point d’accès électronique commun) l’usurpation d’identité et autres activités criminelles, ainsi que le risque que les informations publiées puissent être illégalement exploitées et utilisées par des sociétés à des fins commerciales qui n’étaient pas initialement prévues, après le profilage des personnes concernées. En l’absence de garanties adéquates, les informations peuvent également être vendues à des tiers, ou associées à d’autres informations et revendues aux gouvernements pour être utilisées à des fins isolées et occultes (p. ex. pour l’application du droit fiscal ou autres enquêtes pénales ou administratives) sans aucune base juridique adéquate (16).

22.

Pour ces raisons, il convient de déterminer précisément quelles données à caractère personnel devraient être accessibles via la plateforme ou le point d’accès européen commun, et quelles garanties supplémentaires de protection des données — y compris des mesures techniques pour limiter la recherche ou les capacités de téléchargement et l’extraction de données — devraient s’appliquer.

3.2.   Des garanties essentielles de protection des données devraient être énoncées dans la proposition elle-même et ne devraient pas être déterminées dans les actes délégués

23.

Comme indiqué dans les sections 2.1 et 2.2 ci-dessus, les propositions d’articles 3 bis et 4 bis de la directive 2009/101/CE sont très générales et laissent aux actes délégués le soin de déterminer de nombreux aspects essentiels.

24.

Bien que le CEPD reconnaisse la nécessité de la flexibilité, et dès lors, également celle des actes délégués, il souligne que les garanties nécessaires de protection des données sont des éléments essentiels qui devraient être clairement et spécifiquement prévus directement dans le texte de la proposition de directive elle-même. À cet égard, ces garanties ne peuvent être considérées comme des «éléments non essentiels» pouvant être inclus dans des actes délégués ultérieurs adoptés conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne.

25.

Par conséquent, le CEPD recommande que les dispositions relatives à la protection des données contenues dans la proposition soient plus explicites et ne se contentent pas de mentionner la directive 95/46/CE (voir les sections 3.4 à 3.13). Des dispositions supplémentaires concernant la mise en œuvre de garanties particulières pourraient ensuite être incluses dans des actes délégués, sur la base d’une consultation du CEPD et, le cas échéant, des autorités nationales chargées de la protection des données (voir les sections 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 et 3.13 ci-dessous).

3.3.   D’autres éléments essentiels des mesures proposées devraient également être précisés dans la proposition elle-même

26.

Non seulement la proposition est silencieuse en ce qui concerne les garanties essentielles de protection des données, mais elle ne donne pas non plus d’orientation précise sur d’autres aspects. Notamment, elle laisse également aux actes délégués le soin de déterminer les éléments essentiels de la façon dont elle souhaite réaliser i) l’interconnexion proposée des registres du commerce et ii) la publication des données.

27.

Des précisions sur ces autres éléments essentiels de la proposition sont indispensables pour adopter des garanties de protection des données adéquates. Par conséquent, le CEPD recommande que ces éléments essentiels soient énoncés dans la proposition de directive elle-même (voir les sections 3.4 et 3.5 ci-dessous).

3.4.   Gouvernance: les rôles, les compétences et les responsabilités doivent être précisés dans la proposition de directive

28.

Pour l’instant, la proposition laisse aux actes délégués le soin de déterminer les règles concernant la gouvernance, la gestion, le fonctionnement et la représentation du réseau électronique (17).

29.

Tandis que l’analyse d’impact et l’exposé des motifs dégagent des synergies avec l’IMI et le portail E-Justice, le texte de la proposition de directive laisse le champ libre à plusieurs options qui permettraient à l’une ou à l’ensemble de ces synergies de se concrétiser, y compris la réorganisation de l’EBR, l’utilisation de l’IMI pour certains échanges de données ou l’utilisation du portail e-Justice en tant que plateforme ou point d’accès pour permettre au public d’accéder aux informations contenues dans les registres du commerce.

30.

D’autres options ne sont également pas exclues, comme le lancement d’un appel d’offres pour attribuer le droit de concevoir et d’exploiter le réseau électronique, ou encore la participation directe de la Commission à la conception et l’exploitation du système. Les représentants des États membres pourraient également être associés à la structure dirigeante du réseau électronique.

31.

En outre, bien que la proposition, sous sa forme actuelle, prévoie «une plateforme électronique européenne unique» (soulignement ajouté), il n’est pas exclu que le texte puisse être modifié ultérieurement dans la procédure législative afin de prévoir une structure plus décentralisée.

32.

Le CEPD relève également, bien que la proposition actuelle n’examine pas en particulier la question de l’interconnexion des registres du commerce avec d’autres bases de données (comme les registres fonciers ou les registres civils), qu’il s’agit certainement d’une possibilité technique qui existe déjà dans certains États membres (18).

33.

Le choix de l’une ou l’autre de ces options peut se traduire par une structure de gouvernance complètement différente du réseau électronique et de l’outil électronique qui seront utilisés pour la publication. Ainsi, les rôles et les responsabilités des parties concernées seront différents, tout comme les rôles et responsabilités assumés du point de vue de la protection des données.

34.

À cet égard, le CEPD souligne que dans toute situation impliquant le traitement de données à caractère personnel, il est capital d’identifier correctement le «responsable du traitement». Le groupe de travail «Article 29» sur la protection des données a également insisté sur ce point dans son avis 1/2010 relatif aux notions de «responsable du traitement» et de «sous-traitant» (19). La principale raison pour laquelle l’identification exacte et sans équivoque du responsable du traitement est si importante est qu’elle détermine qui sera chargé de veiller au respect des règles de protection des données et quel droit sera applicable (20).

35.

Comme indiqué dans l’avis du groupe de travail «Article 29», «[l]orsqu’on ne sait pas exactement qui doit faire quoi (par exemple, en l’absence de responsable ou en présence d’une multitude de responsables potentiels du traitement), le risque évident est que la directive ait peu, voire pas d’effets et que ses dispositions restent lettre morte».

36.

Le CEPD attire l’attention sur le fait que la clarté est d’autant plus essentielle lorsqu’une multitude d’acteurs sont engagés dans une relation de coopération. Cela est souvent le cas avec les systèmes d’information de l’UE qui sont utilisés à des fins publiques lorsque l’objet du traitement est défini par la législation de l’Union européenne.

37.

Pour ces raisons, le CEPD recommande d’établir, dans le texte de la proposition de directive elle-même, et de manière exacte, claire et non équivoque:

si le réseau électronique sera exploité par la Commission ou par un tiers et si sa structure sera centralisée ou décentralisée;

les tâches et responsabilités de chacune des parties participant au traitement de données et à la gouvernance du réseau électronique, y compris la Commission, les représentants des États membres, les titulaires de registres du commerce dans les États membres et tout tiers; et

le rapport entre le système électronique prévu dans la proposition et d’autres initiatives telles que l’IMI, le portail e-Justice et l’EBR.

38.

Du point de vue de la protection des données, ces précisions devraient également être exactes et dépourvues de toute ambigüité en vue de déterminer, sur la base de la proposition de directive elle-même, si un acteur en particulier devrait être considéré comme un «responsable du traitement» ou un «sous-traitant».

39.

En principe, la proposition devrait explicitement contribuer à établir, comme il semble ressortir du projet dans son ensemble, que les titulaires des registres du commerce ainsi que le(s) exploitant(s) du système devraient être considérés comme des responsables du traitement en ce qui concerne leurs propres activités. Cela dit, étant donné que la proposition ne décrit actuellement pas la structure de gouvernance et ne détermine pas qui sera le ou les exploitants du système électronique, il ne peut être exclu que l’entité ou certaines des entités qui finiront par exploiter le système au niveau pratique agiront en qualité de sous-traitants plutôt que comme responsables du traitement. Cela pourrait être le cas, notamment, si cette activité est confiée à un tiers qui agira strictement sur instructions. En tout état de cause, on recense toujours de multiples responsables du traitement des données, au moins un dans chaque État membre: les entités qui tiennent les registres du commerce. Le fait qu’il puisse y avoir d’autres entités (privées) impliquées en tant qu’exploitants, «distributeurs» ou d’une quelconque autre façon, ne modifie en rien cet aspect. Quoi qu’il en soit, cet aspect devrait être précisé dans la proposition de directive, pour garantir la clarté et la sécurité juridique.

40.

Dernier point mais non des moindres, la proposition devrait également décrire plus précisément et exhaustivement les responsabilités qui découlent de ces rôles. Par exemple, le rôle du ou des exploitants pour s’assurer que le système est conçu de manière respectueuse de la vie privée ainsi que son rôle de coordination en ce qui concerne les questions relatives à la protection des données devraient être inclus dans la proposition.

41.

Le CEPD relève que toutes ces précisions seront également importantes pour déterminer quelles sont les autorités compétentes chargées de la protection des données et pour quel traitement de données à caractère personnel.

3.5.   Un cadre et une base juridique pour les flux de données et les procédures de coopération administrative devraient être définis dans la proposition de directive

42.

Il s’avère que, sous sa forme actuelle, le réseau électronique n’est pas prévu pour que toutes les informations contenues dans chaque registre du commerce soient automatiquement mises à la disposition de tous les autres registres du commerce dans tous les autres États membres: la proposition requiert simplement l’interconnexion et l’interopérabilité des registres du commerce, et donc, prévoit les conditions pour permettre des échanges et l’accès aux informations à l’avenir. Afin de garantir la sécurité juridique, la proposition devrait préciser si cette interprétation est correcte.

43.

En outre, la proposition ne précise pas non plus quels flux de données et procédures de coopération administrative peuvent être réalisés via les registres du commerce interconnectés (21). Le CEPD comprend qu’une certaine flexibilité puisse être nécessaire pour s’assurer que des besoins qui pourraient se présenter à l’avenir puissent être satisfaits. Cela dit, le CEPD estime qu’il est essentiel que la proposition précise le cadre pour les flux de données et les procédures de coopération administrative qui pourraient être entrepris à l’avenir en utilisant le réseau électronique. Ce point est particulièrement important pour veiller à ce que i) tout échange de données soit effectué sur une base juridique solide, et que ii) des garanties adéquates de protection des données soient prévues.

44.

Selon le CEPD, tout échange de données ou autre activité de traitement de données utilisant le réseau électronique (p. ex. la publication de données à caractère personnel via la plateforme/le point d’accès commun) devrait être basé sur un acte contraignant de l’Union, adopté sur une base juridique solide. Ce point devrait être clairement énoncé dans la proposition de directive (22).

3.6.   D’autres questions essentielles confiées aux actes délégués devraient également être examinées dans la proposition de directive

45.

En outre, la proposition prévoit que les actes délégués déterminent les questions suivantes (23):

les conditions de participation des pays hors Espace économique européen au réseau électronique;

les normes minimales de sécurité applicables au réseau électronique; et

la définition de normes de format, de contenu et de limites en ce qui concerne le stockage des actes et indications enregistrés et leur accès, ces normes devant permettre l’échange automatisé des données.

46.

En ce qui concerne le premier et le deuxième tiret, le CEPD considère que certaines garanties essentielles devraient être prévues dans la proposition de directive elle-même (voir les sections 3.12 et 3.13 ci-dessous). Des détails supplémentaires pourront ensuite être exposés dans les actes délégués.

47.

S’agissant des échanges automatisés des données, le CEPD se félicite que la proposition dispose que les actes délégués doivent préciser «la définition des normes de format, de contenu et de limites en ce qui concerne le stockage des actes et indications enregistrés et leur accès, ces normes devant permettre l’échange automatisé des données».

48.

Afin de clarifier davantage ce point, le CEPD recommande que la proposition de directive elle-même indique clairement que le réseau électronique permet i) des échanges manuels spécifiques de données au cas par cas entre les registres du commerce (comme prévu dans un acte de l’Union en cas de fusion ou d’un transfert du siège par exemple); et ii) des transferts automatisés des données (comme prévu dans un acte de l’Union en cas d’actualisation des informations contenues dans le registre de succursales étrangères par exemple).

49.

Afin d’apporter des précisions supplémentaires, le CEPD recommande également que la proposition de texte pour l’article 4 bis, paragraphe 3, point i), de la directive 2009/101/CE soit modifié pour s’assurer que i) les actes délégués couvriront de manière exhaustive les échanges tant automatisés que manuels des données et que ii) tous les traitements susceptibles de porter sur des données à caractère personnel (et pas seulement le stockage et l’accès) sont couverts; et que iii) des dispositions particulières de protection des données dans les actes délégués garantiront également l’application pratique de garanties adéquates de protection des données.

50.

À titre d’exemple, l’article 4 bis, paragraphe 3, point i), pourrait être modifié et libellé comme suit:

«i)

format, contenu et limites en ce qui concerne tout traitement manuel ou automatisé des données effectué via le réseau, y compris le transfert, le stockage et l’accès aux informations; ainsi que des mesures spécifiques qui pourraient s’avérer nécessaires pour assurer l’application pratique de garanties adéquates de protection des données».

3.7.   Les catégories de données à caractère personnel traitées devraient être davantage précisées dans la proposition de directive

51.

À titre liminaire, le CEPD attire l’attention sur le fait, même si les noms (et éventuellement d’autres détails tels que les adresses personnelles) des représentants des sociétés (et d’autres personnes associées à la gouvernance des sociétés) constituent sans doute les données à caractère personnel les plus évidentes qui sont susceptibles d’être traitées par le réseau électronique ou publiées via la plateforme ou le point d’accès électronique commun, qu’il ne s’agit certainement pas des seules informations personnelles contenues dans les registres du commerce.

52.

Tout d’abord, certains des actes énumérés à l’article 2 de la directive 2009/101/CE (p. ex. l’acte constitutif, les statuts et les documents comptables) peuvent également contenir des données à caractère personnel concernant d’autres personnes. Ces données peuvent comprendre, entre autres, les noms, les adresses, éventuellement les numéros d’identification et les dates de naissance, et même les scans de signatures manuscrites, de différentes personnes, y compris les personnes qui ont constitué la société, les actionnaires des sociétés, les avocats, les comptables, les employés ou les notaires.

53.

Ensuite, les données de la société, lorsqu’elles sont associées au nom d’une personne (comme un administrateur), pourraient également être considérées comme des données à caractère personnel concernant cette personne. Par exemple, s’il ressort des données du registre du commerce que telle ou telle personne siège au conseil d’administration d’une société faisant l’objet d’une liquidation, cette information concerne également cette personne.

54.

Afin de définir précisément quelles sont les données à caractère personnel qui sont traitées et de veiller à ce que l’ensemble des données traitées soient proportionnées aux objectifs de la proposition, le CEPD recommande d’apporter les précisions exposées dans la présente section 3.7.

L’expression «identité des personnes» devrait être clarifiée dans la proposition de directive

55.

L’article 2 de la directive 2009/101/CE ne précise pas quelles informations sur «l’identité» des personnes concernées (représentants des sociétés et autres personnes associées à la gouvernance d’entreprise) doivent être publiées.

56.

D’ailleurs, les différentes versions linguistiques de la proposition font apparaître des différences significatives s’agissant de la traduction de l’expression «particulars of persons». Par exemple, l’expression «l’identité des personnes» est utilisée en français, «le generalità delle persone» (les détails personnels tels que le nom et le prénom) en italien, «személyek adatai» (les données des personnes) en hongrois, «de identiteit van de personen» (l’identité des personnes) en néerlandais et «identitatea persoanelor» (l’identité des personnes) en Roumain.

57.

En outre, dans certains États membres, les adresses personnelles des administrateurs de sociétés ou d’autres personnes telles que certains actionnaires sont généralement publiées sur l’internet. Dans d’autres États membres, ces informations sont maintenues confidentielles par le registre du commerce auquel l’information est soumise, pour des raisons de confidentialité, notamment par crainte d’une usurpation d’identité.

58.

Le CEPD recommande de modifier l’article 2 de la directive 2009/101/CE afin de préciser quelles sont les données à caractère personnel, le cas échéant, en sus des noms des personnes concernées (représentants des sociétés et autres personnes associées à la gouvernance d’entreprise) qui doivent être publiées. Ce faisant, la nécessité de transparence et d’identification exacte de ces personnes devrait être prise en considération, mais également mise en balance avec d’autres préoccupations concurrentes comme la nécessité de protéger la vie privée des personnes concernées (24).

59.

En cas de désaccord dû aux différentes pratiques nationales, l’article 2 devrait au moins être modifié pour exiger que «le nom complet des personnes concernées, et — comme le prévoit le droit national — les données supplémentaires nécessaires à leur identification» soient publiés. Il sera ensuite clairement établi qu’il appartient à chaque État membre de décider, dans sa législation nationale, quels sont, le cas échéant, les «particulars» en plus des noms, qui doivent être publiés, et que des données à caractère personnel supplémentaires ne seront requises que si elles sont nécessaires à l’identification des personnes concernées.

60.

À titre subsidiaire, et étant donné que l’article 2 énumère des «informations minimales» plutôt que d’harmoniser les contenus des registres du commerce à travers l’Europe, l’expression «identité des personnes» pourrait simplement être remplacée par l’expression «noms complets des personnes». Il appartiendrait donc également aux États membres de décider, le cas échéant, quelles informations supplémentaires ils souhaitent publier.

L’expression «administration, surveillance ou contrôle» devrait être clarifiée

61.

L’article 2 de la directive 2009/101/CE requiert également la publication d’informations sur les personnes qui participent «à l’administration, à la supervision ou au contrôle» de la société. En se basant sur cette formulation large, on ne sait pas exactement si des informations concernant les actionnaires doivent être publiées: notamment, des informations sur les actionnaires qui ont i) une participation importante, influente ou majoritaire au-delà d’un certain seuil ou qui ii) en raison d’actions privilégiées, d’accords contractuels particuliers ou d’une quelconque autre façon exercent une influence/un contrôle effectif sur la société.

62.

Le CEPD comprend qu’une formulation large soit nécessaire pour couvrir les différentes structures de gouvernance d’entreprise qui existent actuellement pour les sociétés de capitaux dans les différents États membres. Cela dit, la sécurité juridique concernant les catégories de personnes dont les données sont susceptibles d’être publiées est essentielle du point de vue de la protection des données. Dès lors, le CEPD recommande de modifier l’article 2 de la directive 2009/101/CE afin de préciser quelles sont les données à caractère personnel concernant les actionnaires, le cas échéant, qui doivent être publiées. Ce faisant, une analyse de la proportionnalité en vertu de l’arrêt Schecke (comme indiqué ci-dessus) doit également être réalisée.

Publication d’informations au-delà du minimum requis; listes noires

63.

Bien que la proposition ne prévoie pas l’échange ou la publication de données à caractère personnel au-delà des exigences minimales énoncées à l’article 2 de la directive 2009/101/CE, elle n’exclut pas non plus que les États membres, s’ils en font le choix, puissent exiger que leurs registres du commerce traitent ou publient des données supplémentaires à caractère personnel et rendent ces données accessibles également via la plateforme ou le point d’accès européen commun et échangent ces données avec des registres du commerce dans d’autres États membres.

64.

Cette question est particulièrement sensible au regard des «listes noires». Dans certains pays, le registre électronique fonctionne également, de fait, comme une sorte de «liste noire» et quiconque peut y effectuer des recherches via un portail électronique pour y trouver des informations sur les représentants des sociétés qui ont été interdits d’exercice.

65.

Afin de tenir compte de cette question, le CEPD recommande de préciser dans la proposition si et dans quelle mesure les États membres peuvent par la suite publier davantage d’informations via le portail commun et peuvent par la suite échanger davantage d’informations les uns avec les autres, sur la base de leurs propres législations nationales, si tel est leur choix. Dans ce cas, une analyse stricte de la proportionnalité (voir Schecke, précité) devrait être basée sur le droit national, et tenir également compte, comme facteur d’appréciation, des objectifs du marché intérieur.

66.

En outre, le CEPD suggère de lier l’utilisation de ces pouvoirs à un rôle que devraient jouer les autorités nationales chargées de la protection des données, par exemple, par consultation.

67.

Enfin, le CEPD souligne que s’il était envisagé qu’un système européen exige ces «listes noires», cette possibilité devrait être spécifiquement exposée dans la proposition de directive (25).

3.8.   Garanties pour s’assurer de la limitation de la finalité; garanties contre la collecte de données, l’extraction de données, la combinaison de données, et les recherches excessives

68.

Le CEPD recommande que la proposition de directive précise plus particulièrement que dans tous les cas où des données à caractère personnel sont publiées ou partagées d’une autre façon entre les registres du commerce, des garanties adéquates devraient être offertes, notamment, contre la collecte de données, l’extraction de données, la combinaison de données, et les recherches excessives, afin de s’assurer que les données à caractère personnel qui ont été rendues accessibles à des fins de transparence ne feront pas l’objet d’une utilisation abusive à d’autres fins isolées (26).

69.

Le CEPD insiste plus particulièrement sur la nécessité d’examiner des mesures techniques et organisationnelles suivant le principe du respect de la vie privée dès la conception («privacy by design» — voir la section 3.14 ci-dessous). La mise en œuvre pratique de ces garanties peut être confiée aux actes délégués. Cependant, les principes devraient être énoncés dans la proposition de directive elle-même.

3.9.   Information des personnes concernées et transparence

70.

Le CEPD recommande que la proposition de directive contienne une disposition particulière stipulant que les informations visées aux articles 10 et 11 de la directive 95/46/CE [et les dispositions correspondantes du règlement (CE) no 45/2001, au besoin] devraient être communiquées aux personnes concernées de manière effective et exhaustive. En outre, et en fonction de la structure de gouvernance qui doit être convenue ainsi que des rôles et responsabilités des différentes parties concernées, la proposition de directive pourrait exiger que l’exploitant du système joue un rôle préventif en fournissant des avis et autres informations aux personnes concernées sur son site web, également «au nom» des registres du commerce. Des détails supplémentaires pourraient être inclus dans des actes délégués, si nécessaire, ou déterminés dans une politique de protection des données.

3.10.   Droits d’accès, de rectification et d’effacement

71.

La proposition devrait au moins inclure une référence à l’obligation de définir les modalités d’un accord (dans les actes délégués) pour permettre aux personnes concernées de faire valoir leurs droits. Il devrait également être fait référence à la possibilité de créer un module de protection des données et développer des solutions du respect de la vie privée dès la conception («privacy by design») pour la coopération entre les autorités en ce qui concerne les droits d’accès, ainsi que «l’autonomisation des personnes concernées» le cas échéant.

3.11.   Droit applicable

72.

Étant donné qu’il est possible que la Commission ou un autre organe ou institution de l’UE puisse également traiter des données à caractère personnel dans le réseau électronique (p. ex. en qualité d’exploitant du réseau, ou en accédant à des données à caractère personnel à partir de celui-ci), le règlement (CE) no 45/2001 devrait également être mentionné.

73.

Il devrait également être précisé que la directive 95/46/CE s’applique aux registres du commerce ainsi qu’à d’autres parties relevant du droit national dans leurs États membres respectifs, alors que le règlement (CE) no 45/2001 s’applique à la Commission et aux autres institutions et organes de l’UE.

3.12.   Transferts de données à caractère personnel à des pays tiers

74.

S’agissant des transferts de données à caractère personnel par le titulaire d’un registre du commerce dans l’UE au titulaire d’un registre du commerce dans un pays tiers qui n’offre pas un niveau de protection adéquat des données à caractère personnel, le CEPD souligne tout d’abord qu’il est important de bien faire la différence entre deux situations:

les cas où les données à caractère personnel sont déjà disponibles dans un registre public (p.ex. via la plateforme ou le point d’accès européen commun), et

les cas où les données à caractère personnel ne sont pas accessibles au public.

75.

Dans le premier cas, l’article 26, paragraphe 1, point f), de la directive 95/46/CE autorise une exception lorsque «le transfert intervient au départ d’un registre [public]», sous réserve du respect de certaines conditions. Par exemple, si le titulaire d’un registre du commerce dans un pays européen souhaite transférer un ensemble particulier de données à caractère personnel (p. ex. en rapport avec l’immatriculation de succursales étrangères) au titulaire d’un registre du commerce dans un pays tiers, et que ces mêmes données étaient déjà accessibles au public, en tout état de cause, le transfert devrait être possible même si le pays tiers en question n’offre pas un niveau de protection adéquat.

76.

Dans le second cas, le CEPD recommande que la proposition précise que les données qui ne sont pas accessibles au public peuvent être transférées à des entités ou des personnes dans un pays tiers n’assurant pas un niveau adéquat de protection lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants. Ces garanties peuvent notamment résulter de clauses contractuelles appropriées en vertu de l’article 26, paragraphe 2, de la directive 95/46/CE (27). Lorsque les transferts de données à des pays tiers comprennent systématiquement des données partagées entre les registres du commerce dans deux pays de l’UE ou plus, ou lorsqu’une mesure au niveau de l’UE est autrement souhaitable, des clauses contractuelles peuvent également être négociées au niveau de l’UE (article 26, paragraphe 4).

77.

Le CEPD insiste sur le fait que d’autres dérogations, notamment lorsque (article 26, point d)) «le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice», ne devraient pas être utilisées pour justifier des transferts de données systématiques à des pays tiers via le réseau électronique.

3.13.   Responsabilité et respect de la vie privée dès la conception

78.

Le CEPD recommande que la proposition mentionne plus particulièrement le principe de responsabilité («accountability») (28), s’efforce de l’appliquer et établisse un cadre clair pour des mécanismes et des systèmes appropriés de contrôle interne pour garantir le respect de la protection des données et attester de ce respect notamment de la manière suivante:

en réalisant une analyse d’impact sur la vie privée (y compris une analyse des risques de sécurité) avant de concevoir le système;

en adoptant et en mettant à jour, en tant que de besoin, une politique officielle de protection des données (modalités d’application), également en ce qui concerne un plan de sécurité;

en procédant à des audits périodiques visant à vérifier que la politique de sécurité et de protection des données est bien respectée et qu’elle est toujours adéquate;

en publiant (au moins en partie) les résultats de ces audits afin de rassurer les parties intéressées concernant le respect de la protection des données; et

en signalant les violations de données et autres incidents de sécurité.

79.

Quant au respect de la vie privée dès la conception (29), la proposition devrait plus particulièrement mentionner ce principe et elle devrait également traduire cet engagement en des actions concrètes. Elle devrait notamment prévoir que le réseau électronique doit être développé de manière sécurisée et satisfaisante de sorte qu’il a intégré par défaut un ensemble de garanties du respect de la vie privée. Voici quelques exemples de garanties du respect de la vie privée dès la conception:

une approche décentralisée en vertu de laquelle les données sont uniquement stockées dans une source «maîtresse» et chaque «distributeur» accède uniquement aux données de cette source «maîtresse» (pour garantir que les données sont bien actualisées);

des processus automatiques qui recherchent les informations incohérentes et inexactes;

des capacités de recherche limitées pour indexer uniquement les données qui sont proportionnées et appropriées à la finalité;

d’autres garanties pour empêcher ou limiter le téléchargement en vrac, l’extraction de données, les recherches excessives, et assurer une limitation des finalités; des garanties pour empêcher ou limiter les possibilités pour les tiers d’utiliser l’interface de recherche pour recueillir des données et profiler des personnes (p. ex. «captcha» (30) ou l’obligation de s’enregistrer pour le paiement);

une fonctionnalité intégrée pour que les personnes concernées puissent exercer leurs droits efficacement avec plus de facilité; des fonctionnalités intégrées pour que les registres du commerce puissent se coordonner entre eux concernant les demandes d’accès des personnes concernées;

des procédures pour traiter les informations concernant les demandeurs qui ont téléchargé des informations à partir du registre public de façon sécurisée et respectueuse de la vie privée; et

des mécanismes d’audit et de suivi.

IV.   CONCLUSIONS

80.

Le CEPD approuve les objectifs de la proposition. Ses observations doivent être appréciées à la lumière de cette approche constructive.

81.

Le CEPD insiste sur le fait que les garanties nécessaires de protection des données devraient être clairement et spécifiquement prévues directement dans le texte de la directive elle-même, étant donné qu’il les considère comme des éléments essentiels. Des dispositions supplémentaires concernant la mise en œuvre de garanties spécifiques peuvent ensuite être énoncées dans des actes délégués.

82.

Les questions de la gouvernance, des rôles, des compétences et des responsabilités doivent être examinées dans la proposition de directive. À cette fin, la proposition de directive devrait établir:

si le réseau électronique sera exploité par la Commission ou par un tiers et si sa structure sera centralisée ou décentralisée;

les tâches et responsabilités de chacune des parties participant au traitement de données et à la gouvernance du réseau électronique, y compris la Commission, les représentants des États membres, les titulaires de registres du commerce dans les États membres et tout tiers;

le rapport entre le système électronique prévu dans la proposition et d’autres initiatives telles que l’IMI, le portail e-Justice et l’EBR; et

des éléments spécifiques et non équivoques pour déterminer si tel ou tel acteur devrait être considéré comme un «responsable du traitement» ou un «sous-traitant».

83.

Toute activité de traitement des données utilisant le réseau électronique devrait être basée sur un instrument juridique contraignant tel qu’un acte spécifique de l’Union adopté sur une base juridique solide. Ce point devrait être clairement énoncé dans la proposition de directive.

84.

Les dispositions relatives au droit applicable devraient être précisées et inclure une référence au règlement (CE) no 45/2001.

85.

En ce qui concerne les transferts de données à caractère personnel vers les pays tiers, la proposition devrait préciser qu’en principe, et à l’exception des cas qui relèvent de l’article 26, paragraphe 1, point f), de la directive 95/46/CE, les données peuvent être transférées à des entités ou des personnes dans un pays tiers n’assurant pas un niveau adéquat de protection lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants. Ces garanties peuvent notamment résulter de clauses contractuelles appropriées en vertu de l’article 26, paragraphe 2, de la directive 95/46/CE.

86.

Par ailleurs, la Commission devrait examiner de manière approfondie quelles sont les mesures techniques et organisationnelles à prendre pour s’assurer que le respect de la vie privée et la protection des données sont «conçus» dans l’architecture du réseau électronique («respect de la vie privée dès la conception») et que des contrôles adéquats sont mis en place pour veiller au respect de la protection des données et attester de ce respect («responsabilité»).

87.

Le CEPD formule également les recommandations suivantes:

la proposition de directive devrait clairement indiquer que le réseau électronique doit permettre i) d’une part, des échanges manuels spécifiques de données entre les registres du commerce; et, ii) d’autre part, des transferts automatisés de données. la proposition devrait également être modifiée pour s’assurer que i) les actes délégués couvriront de manière exhaustive les échanges tant automatisés que manuels des données et que ii) tous les traitements susceptibles de porter sur des données à caractère personnel (et pas seulement le stockage et l’accès) sont couverts; et que iii) des dispositions particulières de protection des données dans les actes délégués garantiront également l’application pratique de garanties adéquates de protection des données;

la proposition devrait modifier l’article 2 de la directive 2009/101/CE afin de préciser quelles sont les données à caractère personnel, le cas échéant, en sus des noms des personnes concernées qui doivent être publiées. Il devrait également être précisé si les données concernant les actionnaires doivent être publiées. Ce faisant, la nécessité de transparence et d’identification exacte de ces personnes devrait être prise en considération mais également mise en balance avec d’autres préoccupations concurrentes comme la nécessité de protéger le droit à la protection des données à caractère personnel des personnes concernées;

la proposition devrait préciser si les États membres pourront par la suite publier davantage d’informations via le portail commun (ou échanger davantage d’informations les uns avec les autres) sur la base de leurs propres législations nationales, sous réserve de garanties supplémentaires de protection des données;

la proposition de directive devrait clairement énoncer que les données à caractère personnel qui ont été rendues accessibles à des fins de transparence ne feront pas l’objet d’une utilisation abusive à d’autres fins isolées et qu’à cet effet, des mesures techniques et organisationnelles devraient être mises en œuvre, suivant le principe du respect de la vie privée dès la conception;

la proposition devrait également inclure des garanties spécifiques en ce qui concerne l’obligation d’information des personnes concernées ainsi que l’obligation de définir les modalités d’un accord pour permettre aux personnes concernées de faire valoir leurs droits dans des actes délégués.

Fait à Bruxelles, le 6 mai 2011.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  Par souci de brièveté, les «registres centraux, du commerce et des sociétés» seront par la suite désignés les «registres du commerce» dans le présent avis.

(4)  Directive 2009/101/CE du Parlement européen et du Conseil du 16 septembre 2009 tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 48, deuxième alinéa, du traité, pour protéger les intérêts tant des associés que des tiers (JO L 258 du 1.10.2009, p. 11).

(5)  Onzième directive 89/666/CEE du Conseil, du 21 décembre 1989, concernant la publicité des succursales créées dans un État membre par certaines formes de société relevant du droit d’un autre État (JO L 395 du 30.12.1989, p. 36).

(6)  Directive 2005/56/CE du Parlement européen et du Conseil du 26 octobre 2005 sur les fusions transfrontalières des sociétés de capitaux (JO L 310 du 25.11.2005, p. 1).

(7)  Directive 2009/101/CE suscitée. L’article premier de la directive limite le champ d’application des dispositions de la directive aux «companies incorporated with limited liability».

(8)  Directive 2003/58/CE du Parlement européen et du Conseil du 15 juillet 2003 modifiant la directive 68/151/CEE du Conseil en ce qui concerne les obligations de publicité de certaines formes de sociétés (JO L 221 du 4.9.2003, p. 13).

(9)  Directive 2005/56/CE suscitée.

(10)  Règlement (CE) no 2157/2001 du 8 octobre 2001 relatif au statut de la société européenne (JO L 294 du 10.11.2001, p. 1).

(11)  Règlement (CE) no 1435/2003 du 18 août 2003 relatif au statut de la société coopérative européenne (JO L 207 du 18.8.2003, p. 1).

(12)  http://www.ebr.org/

(13)  http://www.briteproject.eu

(14)  https://e-justice.europa.eu/home.do

(15)  http://ec.europa.eu/internal_market/imi-net/index_fr.html

(16)  En effet, un marché qui consiste à vendre ce type d’informations sur les sociétés est en plein essor: les prestataires de services sur ce marché notent la loyauté des sociétés ou personnes sur la base des informations recueillies dans de nombreux lieux y compris les registres du commerce, les registres des tribunaux, les registres d’insolvabilité, etc.

(17)  Voir le texte proposé pour l’article 4 bis, paragraphe 3, point a), de la directive 2009/101/CE.

(18)  Étant donné que l’interconnexion n’est actuellement pas prévue dans la proposition, le CEPD n’examinera pas davantage cette question dans le présent avis à ce stade. Néanmoins, il attire l’attention sur le fait que si l’interconnexion devait être envisagée, cela nécessiterait peut-être une analyse séparée de la proportionnalité et l’adoption de garanties supplémentaires adéquates de protection des données.

(19)  Voir l’article 2, points d) et e), de la directive 95/46/CE et du règlement (CE) no 45/2001, ainsi que l’avis 1/2010 du 16 février 2010 du groupe de travail «Article 29» sur la protection des données sur les notions de «responsable du traitement» et de «sous-traitant» (WP169).

(20)  Étant donné que les lois relatives à la protection des données ne sont pas totalement harmonisées en Europe, l’identité du responsable du traitement est importante pour déterminer quelle législation nationale est applicable. En outre, il est également important de déterminer si la directive 95/46/CE ou le règlement (CE) no 45/2001 s’appliquent: si la Commission est (également) un responsable du traitement, dans ce cas, le règlement (CE) no 45/2001 s’appliquera (également), comme expliqué à la section 3.11 ci-dessous.

(21)  À l’exception, dans une certaine mesure, des échanges de données en cas de fusions transfrontalières, de transferts du siège et d’actualisations des informations concernant les succursales, que la proposition examine plus particulièrement.

(22)  À cet égard, si un traitement de données s’avère potentiellement nécessaire dans un domaine du marché intérieur qui n’est pas couvert par un acte spécifique de l’Union, le CEPD recommande de mener une réflexion plus approfondie sur les modalités d’un cadre juridique qui permettrait, peut-être en association avec des dispositions générales du traité, des dispositions particulières de la proposition de directive, et d’autres actes délégués, de fournir une base juridique adéquate du point de vue de la protection des données. Il conviendrait également de préciser dans la proposition de directive si les registres du commerce peuvent utiliser le réseau électronique et le point d’accès commun pour échanger ou publier des données à caractère personnel non prévues dans un acte de l’Union mais autorisées ou requises en vertu du droit national.

(23)  Voir le texte proposé pour l’article 4 bis, paragraphe 3, point a), de la directive 2009/101/CE.

(24)  La proportionnalité devrait être appréciée, notamment, à la lumière des critères établis par la Cour européenne de justice dans l’arrêt Schecke et Eifert (Arrêt de la Cour du 9 novembre 2010, affaires jointes C-92/09 et C-93/09; voir, notamment, les points 81, 65 et 86). Dans Schecke, la Cour a souligné que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire. La CJE a également estimé que les institutions devraient étudier différentes méthodes de publication afin de trouver celle qui serait conforme à l'objectif de la publication tout en étant moins attentatoire au droit des personnes concernées au respect de leur vie privée, en général, et à la protection de leurs données à caractère personnel en particulier.

(25)  Étant donné qu’elle n’est actuellement pas prévue dans la proposition, le CEPD n’examinera pas cette question plus avant dans le présent avis à ce stade. Néanmoins, il attire l’attention sur le fait que si elle devait être envisagée, elle nécessiterait peut-être une analyse séparée de la proportionnalité, et l’adoption de garanties supplémentaires adéquates de protection des données.

(26)  Voir l’article 6, point b), de la directive 95/46/CE et le règlement (CE) no 45/2001.

(27)  S’il est possible que, dans certains cas, la Commission figure parmi les acteurs susceptibles de transférer les données à des pays tiers, l’article 9, paragraphes 1 et 7, du règlement (CE) no 45/2001 devra également être mentionné.

(28)  Voir la section 7 de l’avis du CEPD sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions — «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», publié le 14 janvier 2011, disponible à l’adresse http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf

(29)  Idem.

(30)  Un «captcha» est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d’un ordinateur.