30.6.2012   

FR

Journal officiel de l'Union européenne

C 192/7


Résumé de l'avis du 7 mars 2012 du CEPD sur le paquet de mesures pour une réforme de la protection des données

(Le texte complet est disponible en anglais, français et allemand sur le site internet de l'EDPS http://www.edps.europa.eu)

2012/C 192/05

Le 25 janvier 2012, la Commission a adopté un paquet de mesures visant à réformer le cadre européen de protection des données incluant une proposition de règlement contenant des règles générales de protection des données et une proposition de directive sur la protection des données dans le secteur répressif.

Le 7 mars 2012, le Contrôleur européen à la protection des données (CEPD) a adopté un avis qui fournit des commentaires détaillés sur les deux propositions législatives. Le texte complet de l'avis est disponible sur le site internet du CEPD: http://www.edps.europa.eu

Dans son avis, le CEPD donne brièvement un aperçu du contexte des propositions et indique son évaluation générale.

Le CEPD accueille favorablement la proposition de règlement car elle constitue un grand pas en avant pour le droit à la protection des données en Europe. Les règles proposées renforceront les droits des individus et responsabiliseront davantage les responsables du traitement quant à la manière de traiter les données personnelles. En outre, le rôle et les pouvoirs des autorités nationales de contrôle (séparément et conjointement) se verront réellement renforcés.

Le CEPD est particulièrement heureux de voir que l’instrument proposé est un règlement pour les règles générales sur la protection des données. La proposition de règlement sera directement applicable dans les États membres et mettra fin à de nombreuses complexités et incohérences découlant des différentes mesures d’exécution des États membres actuellement en place.

Le CEPD est cependant extrêmement déçu par la proposition de directive pour la protection des données en matière pénale. Le CEPD regrette que la Commission ait choisi de réglementer la question dans un instrument autonome qui offre un niveau de protection inadéquat, très inférieur à la proposition de règlement.

Un élément positif de la proposition de directive est le fait qu’elle couvre le traitement national et a dès lors un champ d’application plus large que l’actuelle décision-cadre. Toutefois, cet élargissement n’offre de plus-value que si la directive renforce substantiellement le niveau de protection des données dans ce domaine, ce qui n’est pas le cas.

La principale faiblesse de l’ensemble du paquet tient au fait qu’il ne remédie pas à l’absence d’une approche globale des règles de l’UE en matière de protection des données. Il ne produit aucun effet sur de nombreux instruments de l’UE en matière de protection des données, tels que les règles de protection des données pour les institutions et organes de l’UE, mais aussi tous les instruments spécifiques adoptés dans le domaine de la coopération policière et judiciaire en matière pénale, tels que la décision de Prüm et les règles relatives à Europol et Eurojust. En outre, les deux instruments proposés considérés conjointement ne traitent pas complètement des situations de fait qui relèvent des deux domaines de politique, telles que l’utilisation des données PNR ou de télécommunications à des fins répressives.

En ce qui concerne la proposition de règlement, une question horizontale est la relation entre le droit européen et le droit national. La proposition de règlement tend largement à la création d’un seul droit applicable pour la protection des données dans l’UE, il reste cependant davantage de place pour la coexistence et l’interaction entre le droit de l’UE et le droit national que l’on ne pourrait le croire à première vue. Le CEPD est d'avis que le législateur devrait mieux le reconnaître.

Une deuxième question d'importance générale se pose concernant les nombreuses dispositions qui habilitent la Commission à adopter des actes délégués ou d'exécution. Le CEPD accueille favorablement cette approche dans la mesure où elle contribue à l'application cohérente du règlement mais émet des réserves quant à la portée des délégations qui concernent des dispositions essentielles. Plusieurs de ces habilitations devraient être reconsidérées.

un niveau détaillé, le CEPD souligne les principaux éléments positifs de la proposition de règlement qui sont:

la clarification du champ d’application de la proposition de règlement;

les exigences de transparence accrue envers la personne concernée et le renforcement du droit d’opposition;

l’obligation générale pour les responsables du traitement de veiller à, et d’être capables de démontrer la conformité aux dispositions du règlement;

le renforcement de la position et du rôle des autorités de surveillance nationales;

les principales lignes du mécanisme de contrôle de la cohérence.

Les principaux éléments négatifs de la proposition de règlement sont:

les nouvelles exceptions au principe de limitation de la finalité;

les possibilités de restreindre les principes et droits de base;

l’obligation pour les responsables du traitement de conserver la documentation de toutes les opérations de traitement;

le transfert de données vers des pays tiers par voie de dérogation;

le rôle de la Commission dans le mécanisme destiné à garantir la cohérence;

la nature obligatoire de l’imposition de sanctions administratives.

En ce qui concerne la directive, le CEPD est d'avis que la proposition, dans de nombreux aspects, ne rencontre pas les exigences d'un niveau de protection des données élevé et cohérent. Elle laisse inchangés tous les instruments existants dans le domaine et dans de nombreux cas, les déviations par rapport aux règles établies dans la proposition de règlement ne sont pas du tout justifiés.

Le CEPD souligne que si le domaine répressif exige certaines règles spécifiques, toute déviation des règles générales relatives à la protection des données doit être dûment justifiée, sur la base d’un équilibre approprié entre l’intérêt général dans le contexte répressif et les droits fondamentaux des citoyens.

Le CEPD est en particulier préoccupé par:

le manque de clarté dans la rédaction du principe de limitation de la finalité;

l’absence d’une obligation pour les autorités compétentes de démontrer la conformité avec la directive;

les conditions insuffisantes pour les transferts vers des pays tiers;

les pouvoirs indûment limités des autorités de contrôle.

Les recommandations suivantes ont été faites..

Recommandations sur l'ensemble du processus de la réforme

annoncer publiquement le calendrier portant sur la deuxième phase du processus de réforme dans les plus brefs délais;

incorporer les règles pour les institutions et organes européens dans la proposition de règlement ou, à tout le moins, veiller à ce que les règles soient en adéquation avec, et entrent en vigueur lors de l’application de la proposition de règlement;

présenter dans les plus brefs délais une proposition pour des règles communes pour la politique étrangère et de sécurité commune, fondées sur l’article 39 du traité UE.

Recommandations sur la proposition de règlement

Questions horizontales

Ajouter une disposition clarifiant le champ d'application territorial du droit national en vertu du règlement.

Reconsidérer la délégation de pouvoir aux articles 31, paragraphes 5 et 6, 32, paragraphes 5 et 6, 33 paragraphes 6 et 7, 34, paragraphe 2, point a) et 44, paragraphe 1, points 1 et 7.

Prévoir des mesures appropriées et spécifiques pour les MPMEs uniquement dans des actes d'exécution et pas dans des actes délégués aux articles 8, paragraphe 3, 14, paragraphe 7, 22, paragraphe 4 et 33, paragraphe 6.

Affiner la notion d'«intérêt public» dans chaque disposition qui l'utilise. L'intérêt public spécifique devrait être clairement identifié en rapport avec le contexte du traitement envisagé dans chaque disposition pertinente de la proposition (voir en particulier le considérant 87, les articles 17, paragraphe 5, 44, paragraphe 1, point d) et 81, paragraphe 1, points b) et c). Des exigences supplémentaires pourraient inclure que le motif ne puisse être invoqué que dans des circonstances spécifiquement pressantes ou pour des raisons impérieuses prévues par la loi.

Chapitre 1 —   Dispositions générales

Article 2, paragraphe 2, point d): insérer un critère pour différencier les activités publiques et domestiques fondé sur le nombre indéfini des personnes pouvant accéder aux informations.

Article 2, paragraphe 2, point e): prévoir que l’exception s’applique aux autorités publiques compétentes. Le considérant 16 doit être rendu cohérent avec l’article 2, paragraphe 2, point e).

Article 4, paragraphe 1, paragraphe 2: ajourer une explication plus claire dans un considérant, en insistant sur le fait que dès qu’il existe une relation étroite entre un identifiant et une personne, cela générera habituellement l’application des principes relatifs à la protection des données.

Article 4, paragraphe 13: affiner les critères pour identifier l’établissement principal du responsable du traitement pertinent, en tenant compte de l’«influence dominante» d’un établissement sur d’autres, en lien étroit avec le pouvoir de mettre en œuvre les règles relatives à la protection des données à caractère personnel ou les règles pertinentes pour la protection des données. À titre alternatif, la définition pourrait se concentrer sur l’établissement principal de l’ensemble du groupe.

Ajouter de nouvelles définitions concernant le «transfert» et la «limitation du traitement».

Chapitre II —   Principes fondamentaux

Article 6: ajouter un considérant pour préciser ce que recouvre une mission effectuée «dans l’intérêt général ou relevant de l’exercice de l’autorité publique» à l’article 6, paragraphe 1, point e).

Article 6, paragraphe 4: supprimer la disposition ou, à tout le moins, limiter son champ d’application au traitement ultérieur des données pour des finalités incompatibles aux motifs contenus à l’article 6, paragraphe 1, point a) et à l’article 6, paragraphe 1, point d). Cela nécessiterait également une modification du considérant 40.

Ajouter une nouvelle disposition sur la représentation de toutes les personnes ne disposant pas d’une capacité (juridique) suffisante ou qui ne sont pas autrement pas en mesure d’agir.

Article 9: inclure les infractions et questions n’ayant pas donné lieu à des condamnations dans les catégories particulières de données. Étendre l’exigence de contrôle de l’autorité officielle à tous les motifs indiqués à l’article 9, paragraphe 2, point j).

Article 10: rendre plus explicite, au considérant 45, le fait que le responsable du traitement des données ne doit pas être en mesure d’invoquer une éventuelle absence d’informations pour rejeter une demande d’accès, lorsque ces informations peuvent être fournies par la personne concernée pour permettre cet accès.

Chapitre III —   Droits de la personne concernée

Article 14: inclure les informations sur l’existence de certaines opérations de traitement qui exercent un impact particulier sur les personnes ainsi que les conséquences de ce traitement sur les personnes.

Article 17: développer davantage la disposition pour assurer son efficacité dans la réalité. Supprimer l’article 17, paragraphe 3, point d).

Article 18: préciser que l’exercice du droit est sans préjudice de l’obligation visé à l’article 5, point e), lorsqu’elles ne sont plus nécessaires. Veiller à ce que l’article 18, paragraphe 2, ne soit pas seulement limité aux données qui ont été fournies par la personne concernée sur la base d’un consentement ou d’un contrat.

Article 19: préciser ce que le responsable du traitement est supposé faire des données en cas de désaccord avec la personne concernée et mettre en équation avec l’article 17, paragraphe 1, point c). Expliquer dans un considérant ce qui peut être qualifié de «raisons impérieuses et légitimes».

Article 20: inclure le droit des personnes de soumettre leur point de vue, à l’article 20, paragraphe 2, point a), tel qu’il est actuellement prévu à l’article 15 de la directive 95/46/CE.

Article 21: introduire des garanties détaillées selon lesquelles le droit national doit spécifier les objectifs poursuivis par le traitement, les catégories de données à caractère personnel à traiter, les finalités et moyens spécifiques du traitement, le responsable du traitement, les catégories de personnes autorisées à traiter les données, la procédure à suivre pour le traitement et les garanties contre toute interférence arbitraire de la part des autorités publiques. Inclure en tant que garanties supplémentaires l’information des personnes concernées d’une limitation et de leur droit de saisir l’autorité de contrôle afin d’obtenir un accès indirect. Ajouter à l’article 21 que la possibilité d’appliquer des limitations au traitement effectué par des responsables du traitement privés à des fins répressives ne doit pas les forcer à conserver des données en plus de celles qui sont strictement nécessaires pour la finalité originale poursuivie, ni à modifier leur architecture informatique. Supprimer le motif contenu à l’article 21, paragraphe 1, point e).

Chapitre IV —   Responsable du traitement et sous-traitant

Article 22: faire explicitement référence au principe de responsabilité, en tout état de cause au considérant 60. Fusionner l’article 22, paragraphes 1 et 3, et mentionner explicitement que les mesures doivent être appropriées et efficaces. Inclure une disposition générale précédant les obligations spécifiques à l’article 22, paragraphe 2, et développer davantage le concept du «contrôle de la gestion», en incluant la répartition des responsabilités, la formation du personnel et les instructions adéquates et en exigeant que le responsable du traitement ait au moins une vue d’ensemble et un inventaire général des opérations de traitement qui entrent dans le champ de ses responsabilités. Ajouter un nouveau paragraphe disposant que le responsable du traitement décide ou est obligé de publier un rapport régulier de ses activités. Ce rapport doit également contenir une description des politiques et mesures visées à l’article 22, paragraphe 1.

Article 23: faire référence, à l’article 23, paragraphe 2, et au considérant 61, au fait que la personne concernée doit en principe avoir le choix d’autoriser une utilisation de ses données à caractère personnel de façon plus large.

Article 25, paragraphe 2, point a): supprimer l’exception pour les pays tiers adéquats.

Article 26: ajouter l’obligation pour le sous-traitant de tenir compte du principe de protection des données dès la conception dans la liste des spécifications contenues à l’article 26, paragraphe 2.

Article 28: reconsidérer ou supprimer les dérogations de l’article 28, paragraphe 4.

Article 30: préciser l’article 30 pour garantir la responsabilité globale du responsable du traitement et ajouter l’obligation pour le responsable du traitement d’adopter une approche de gestion de la sécurité des informations au sein de l’organisation, incluant, le cas échéant, la mise en œuvre d’une politique de sécurité des informations spécifique au traitement des données réalisé. Inclure une référence explicite à l’analyse d’impact relative à la protection des données à l’article 30.

Articles 31 et 32: spécifier les critères et les exigences pour établir une violation des données et les circonstances dans lesquelles elle doit être notifiée. Modifier le délai de 24 heures à l’article 31 en le remplaçant par un délai de 72 heures au plus tard.

Article 33: la liste des opérations de traitement contenue à l’article 33, paragraphe 2, points b), c) et d), ne doit pas se limiter au traitement à grande échelle. Aligner l’article 33, paragraphe 8, sur le considérant 73. Limiter l’article 33, paragraphe 6, aux éléments non essentiels. Préciser que la taille d’une entreprise ne devrait jamais supprimer l’obligation d’effectuer une analyse d’impact relative à la protection des données en ce qui concerne les opérations de traitement qui présentent des risques spécifiques.

Article 34: déplacer l’article 34, paragraphe 1, au chapitre V de la proposition de règlement.

Articles 35 à 37: abaisser le seuil de 250 salariés à l’article 35, paragraphe 1, et préciser le champ d’application de l’article 35, paragraphe 1, point c). Ajouter des garanties, notamment des conditions plus strictes pour le renvoi du délégué à la protection des données et veiller, à l’article 36, paragraphe 1, à ce que le délégué à la protection des données ait accès à toutes les informations pertinentes et aux locaux tels que nécessaires pour l’exécution de ses devoirs. Inclure à l’article 37, paragraphe 1, point a), le rôle du délégué à la protection des données en matière de sensibilisation.

Chapitre V —   Transfert vers les pays tiers

Déclarer au considérant 79 que la non-applicabilité du règlement aux accords internationaux est limitée dans le temps et uniquement aux accords internationaux déjà existants.

Insérer une clause transitoire prévoyant l’examen de ces accords internationaux dans un délai fixé afin de les mettre en équation avec le règlement.

Article 41 (et considérant 82): préciser qu’en cas de décision constatant le caractère inadéquat, les transferts ne seraient permis que sous réserve de garanties appropriées ou en vertu des dérogations exposées à l’article 44.

Article 42: veiller à ce que la possibilité de recourir à des instruments qui ne soient pas juridiquement contraignants pour offrir des garanties appropriées soit clairement justifiée et limitée uniquement aux cas où la nécessité de se fier à ce type de mesure non contraignante a été démontrée.

Article 44 (et considérant 87): ajouter que la possibilité de transférer des données ne doit concerner que des transferts occasionnels et être fondée sur une analyse soigneuse de toutes les circonstances du transfert, au cas par cas. Remplacer ou préciser la référence aux «garanties appropriées» à l’article 44, paragraphe 1, point h), et à l’article 44, paragraphe 3.

Considérant 90: modifier le considérant en une disposition de fond. Mettre en place des garanties appropriées, impliquant des garanties judiciaires ainsi que des garanties relatives à la protection des données.

Chapitres VI and VII —   Autorités de contrôle indépendantes, coopération et cohérence

Article 48: inclure un rôle pour les parlements nationaux dans la procédure de désignation des membres des autorités de contrôle.

Article 52, paragraphe 1: inclure le devoir d’élaborer des lignes directrices sur l’utilisation des différents pouvoirs d’exécution, si nécessaire coordonnées au niveau de l’UE au sein du comité. Ce point pourrait éventuellement être inclus également à l’article 66.

Article 58: remplacer le terme anglais «immediately» (immédiatement) à l’article 58, paragraphe 6, par «without delay» [sans délai] et étendre le délai d’un mois visé à l’article 58, paragraphe 7, à deux mois/huit semaines.

Article 58: accorder plus de poids à la règle de la majorité en veillant à ce qu’une requête d’une autorité puisse être soumise au vote dans le cas où la question en jeu ne se rapporte pas à l’une des principales mesures décrites à l’article 58, paragraphe 2.

Articles 59 et 60: limiter le pouvoir de la Commission en supprimant la possibilité d’annuler la décision d’une autorité de contrôle nationale sur une question spécifique en adoptant un acte d’exécution. Veiller à ce que le rôle de la Commission consiste, dans une phase initiale, en le pouvoir de saisir le comité, comme prévu à l’article 58, paragraphe 4, et, dans une phase ultérieure, le pouvoir d’adopter des avis. Insérer une référence à une procédure ultérieure devant la Cour de justice, dans le contexte d’une procédure d’infraction ou une demande de mesures provisoires telles qu’une ordonnance de suspension.

Article 66: ajouter que le comité doit être consulté dans le contexte des analyses du caractère adéquat.

Reconsidérer l’actuelle analyse d’impact du secrétariat du comité européen de protection des données en termes de ressources financières et humaines (voir l’annexe au présent avis, disponible sur le site internet du CEPD).

Chapitre VIII —   Recours, responsabilité et sanctions

Articles 73 et 76: préciser la nature du mandat que l’organisation doit obtenir des personnes concernées et le degré de formalité requis. Inclure une disposition plus large sur des actions collectives.

Article 74, paragraphe 4: préciser le type de «préoccupation» d’une personne concernée qui pourrait déclencher la procédure et de la limiter à un risque plus précis d’impact sur les droits de la personne concernée.

Article 75, paragraphe 2: spécifier que la dérogation ne s’applique pas à une autorité publique d’un pays tiers.

Article 76, paragraphes 3 et 4: insérer une procédure d’information plus systématique au niveau des tribunaux.

Préciser l’interaction avec le règlement Bruxelles-I.

Préciser la compatibilité de l’utilisation des informations collectées auprès d’un responsable du traitement des données (sur la base de l’article 53) avec le droit général de ne pas contribuer à sa propre incrimination.

Article 77: ajouter qu’une personne concernée doit toujours avoir la possibilité de s’adresser au responsable du traitement, indépendamment du lieu et de la façon dont le dommage est survenu en ce qui concerne le règlement du dommage. Insérer le règlement ultérieur du dommage entre le responsable du traitement et le sous-traitant, une fois que le partage des responsabilités entre eux a été clarifié. Ajouter que cela doit également s’appliquer à la compensation pour les dommages immatériels ou le préjudice moral.

Introduire une disposition utilisant le concept d’une entité économique unique ou d’une entreprise unique afin de pouvoir tenir un groupe pour responsable des violations commises par une filiale.

Article 79: insérer une liberté d’appréciation pour les autorités de contrôle en ce qui concerne les sanctions administratives. Ajouter des spécifications mettant en lumière les circonstances dans lesquelles une sanction administrative est infligée. Veiller à ce que la non-conformité à un ordre spécifique entraîne normalement une sanction administrative plus lourde qu’une seule violation de la même disposition générale.

Chapitre IX —   Situations de traitements spécifiques des données

Article 80: reformuler l’article 80 et déclarer que les États membres prévoient des exemptions ou des dérogations des dispositions incluses dans le règlement (comme déjà indiqué dans le texte actuel) si cela s’avère nécessaire pour concilier le droit à la protection des données avec le droit à la liberté d’expression. Ajouter, dans la disposition ou dans un considérant, que lors de la conciliation des deux droits fondamentaux, il ne doit pas être porté atteinte au contenu essentiel des deux droits.

Ajouter une disposition de fond sur l’accès public aux documents, déclarant que les données à caractère personnel dans les documents détenus par les autorités et organismes publics peuvent être divulguées publiquement si cela est: 1) prévu par le droit de l’UE ou le droit national; 2) nécessaire pour concilier le droit à la protection des données avec le droit d’accès du public aux documents administratifs; et 3) constitue un juste équilibre entre les divers intérêts concernés.

Remplacer aux articles 81, 82, 83 et 84 le libellé «Dans les limites du présent règlement» par «Sans préjudice du présent règlement».

Article 81: aligner les articles 81, paragraphes 1 et 3, et 9, paragraphe 3, et préciser le champ d’application et la nature de l’article 81. Une nouvelle orientation devrait être donnée sur l’exigence du consentement, la détermination des responsabilités et les exigences en matière de sécurité.

Article 83: inclure des garanties supplémentaires si des catégories particulières de données sont traitées. Préciser à l’article 83, paragraphe 1, que le point de départ pour le traitement des données à des fins de recherche doit être que ce traitement est effectué en utilisant des données rendues anonymes. Préciser ce que signifie le mot «séparément» et veiller à ce que cette conservation séparée protège réellement les personnes concernées. Faire référence, à l’article 83, paragraphe 1, point b), aux «données qui permettent de relier certaines informations à une personne concernée» plutôt qu’aux «données permettant de rattacher des informations à une personne concernée identifiée ou identifiable». Exclure la limitation aux droits des personnes via des actes délégués.

Recommandations sur la proposition de directive

Questions horizontales

Article 59: les actes dans le domaine de la coopération policière et judiciaire en matière pénale doivent être modifiés au plus tard au moment où la directive entre en vigueur.

Ajouter une nouvelle disposition introduisant un mécanisme d’évaluation pour des évaluations régulières basées sur la preuve que les activités de traitement des données d’une certaines envergure constituent réellement nécessaire et proportionnée à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière.

Ajouter une nouvelle disposition pour veiller à ce que le transfert des données à caractère personnel des autorités répressives vers d’autres organismes publics ou des parties privées n’est permis que sous certaines conditions spécifiques et strictes.

Ajouter une nouvelle disposition sur des garanties spécifiques en relation avec le traitement des données des enfants

Chapitres I and II —   Dispositions générales et principes

Article 3, paragraphe 4: étayer davantage, dans le sens de l’article 17, paragraphe 8, de la proposition de règlement.

Article 4, point b): inclure une précision dans un considérant, déclarant que la notion de «compatibilité d’utilisation» doit être interprétée de manière restrictive.

Article 4, point f): aligner sur l’article 5, point f), de la proposition de règlement et modifier les articles 18 et 23 en conséquence.

Article 5: inclure les personnes non suspectes en tant que catégorie distincte. Supprimer le libellé «dans la mesure du possible» et spécifier les conséquences de la catégorisation.

Article 6: supprimer «dans la mesure du possible» aux paragraphes 1 et 2.

Article 7, point a): modifier en une disposition autonome, garantissant, de manière générale, que toutes les opérations de traitement des données sont prévues par la loi, satisfaisant ainsi aux exigences de la Charte des droits fondamentaux et de la CEDH.

Article 7, points b) à d): remplacer par une disposition supplémentaire, séparée, qui énonce de façon exhaustive les motifs d’intérêt général pour lesquels une dérogation au principe de limitation de la finalité peut être accordée.

Ajouter une nouvelle disposition sur le traitement des données à caractère personnel à des fins de recherche historique, statistique et scientifique.

Ajouter une obligation pour l’autorité compétente de mettre en place des mécanismes pour garantir que des délais sont établis pour l’effacement des données à caractère personnel et pour une révision périodique de la nécessité de conservation des données, y compris la fixation de délais de conservation pour les différentes catégories des données à caractère personnel ainsi que des vérifications régulières de leur qualité.

Article 8: inclure le libellé strict du considérant 26 à l’article 8. Inclure ce qui est visé par des mesures adéquates qui vont au-delà des garanties ordinaires

Chapitre III —   Droits de la personne concernée

Article 10: supprimer la référence à «toutes les mesures raisonnables» à l’article 10, paragraphes 1 et 2. Intégrer un délai explicite à l’article 10, paragraphe 4, et déclarer que les informations doivent être communiquées à la personne concernée. Remplacer le libellé «abusives» à l’article 10, paragraphe 8, par «au caractère manifestement excessif». Donner de plus amples indications sur cette notion dans un considérant.

Ajouter une nouvelle disposition exigeant du responsable du traitement qu’il communique à chaque destinataire auquel les données ont été divulguées, toute rectification, tout effacement ou toute modification des données, effectués ou non conformément à l’article 15 ou 16, à moins que cela ne s’avère impossible ou n’implique un effort disproportionné.

Articles 11 et 13: ajouter une phrase à l’article 11, paragraphe 4, et à l’article 13, paragraphe 1, déclarant que le responsable du traitement doit être tenu de vérifier chaque cas spécifique, au moyen d’un examen concret et individuel, afin de déterminer si des restrictions partielles ou complètes pour l’un des motifs s’appliquent. Assurer une interprétation limitée du champ d’application de l’article 11, paragraphe 8, et de l’article 13, paragraphe 2. Supprimer le mot «non-fourniture» à l’article 11, paragraphe 4, et au considérant 33.

Articles 15 et 16: ajouter les motifs et les conditions pour limiter le droit de rectification et le droit à l’effacement.

Article 16: utiliser le libellé «limite le traitement» au lieu de «marque» à l’article 16, paragraphe 3. Inclure à l’article 16 l’obligation pour le responsable du traitement d’informer la personne concernée avant de lever toute limitation sur le traitement.

Chapitre IV —   Responsable de traitement et sous-traitant

Article 18: mentionner, à l’article 4, point f) également, que l’exigence relative à la documentation découle de l’obligation générale de pouvoir démontrer la conformité avec la directive. Inclure l’exigence de conserver les informations sur le motif légal pour lequel les données sont transférées, avec des explications substantielles, notamment si un transfert est fondé sur l’article 35 ou 36.

Article 19: étayer la notion de protection des données «par défaut».

Article 23, paragraphe 2: aligner avec l’article 28, paragraphe 2, de la proposition de règlement.

Article 24: inclure l’identité des destinataires des données.

Insérer une nouvelle disposition, exigeant des autorités compétentes qu’elles procèdent à une analyse d’impact relative à la protection des données, à moins qu’une analyse spécifique, équivalente à une analyse d’impact relative à la protection des données, ait déjà été réalisée durant le processus législatif.

Article 26: aligner plus étroitement avec les procédures développées à l’article 34, paragraphe 2, de la proposition de règlement.

Article 30: traiter de la question du conflit d’intérêts et établir un mandat minimum de deux ans.

Article 31: prévoir un rattachement administratif approprié en tenant dûment compte du rôle indépendant du délégué à la protection des données et en vue notamment d’éviter d’éventuelles relations inégales ou d'influence par des responsables du traitement de haut rang.

Chapitre V —   Transfert vers des pays tiers

Article 33: ajouter l’exigence selon laquelle le transfert ne pourra avoir lieu que si le responsable du traitement dans le pays tiers ou l’organisation internationale est une autorité compétente au sens de la proposition de directive.

Article 35: supprimer l’article 35, paragraphe 1, point b), ou inclure au minimum l’exigence d’une autorisation préalable de l’autorité de contrôle.

Article 36: préciser dans un considérant que toute dérogation utilisée pour justifier un transfert doit être interprétée de manière restrictive et ne doit pas permettre un transfert fréquent, massif et structurel des données à caractère personnel; même un cas individuel ne doit pas permettre de transferts massifs de données et doit être limité aux données strictement nécessaires. Ajouter des garanties supplémentaires telles qu’une obligation de documenter spécifiquement ces transferts.

Articles 35 et 36: ajouter qu’en cas de décision constatant le caractère inadéquat, les transferts doivent être fondés: i) sur l’article 35, paragraphe 1, point a), s’il existe un accord international juridiquement contraignant autorisant le transfert sous certaines conditions spécifiques garantissant une protection adéquate, ou ii) sur les dérogations visées à l’article 36, point a) ou c).

Chapitres VI and VII —   Mécanismes de surveillance

Article 44: donner une plus grande orientation dans un considérant sur ce qui est destiné à être couvert par «l’exercice des fonctions juridictionnelles».

Article 46: aligner les pouvoirs des autorités de contrôle vis-à-vis des autorités policières nationales visés dans le cadre de la proposition de règlement. Aligner l’article 46, point a), sur l’article 53 de la proposition de règlement et remplacer le libellé «tels que» à l’article 46, points a) et b), par «y compris».

Article 47: inclure que le rapport annuel sur l’activité des autorités de contrôle doit être présenté au parlement national et rendu public.

Article 48: inclure les dispositions de l’article 55, paragraphes 2 à 7, de la proposition de règlement à l’article 48.

Examiner la nécessité d’un mécanisme de coopération accrue, dans le champ d’application de la proposition de directive également

(Version abrégée. Le texte complet est disponible en anglais, français et allemand sur le site internet de l'EDPS http://www.edps.europa.eu)

Fait à Bruxelles, le 7 mars 2012.

Peter HUSTINX

Contrôleur européen de la protection des données