4.2.2014 |
FR |
Journal officiel de l'Union européenne |
C 32/19 |
Résumé de l'avis du Contrôleur européen de la protection des données sur la communication conjointe de la Commission et de la haute représentante de l’Union européenne pour les affaires étrangères et la politique de sécurité intitulée «Stratégie de cybersécurité de l’Union européenne: un cyberespace ouvert, sûr et sécurisé» et sur la proposition de directive de la Commission concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union
(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site internet du CEPD http://www.edps.europa.eu)
2014/C 32/10
1. Introduction
1.1. Consultation du CEPD
1. |
Le 7 février 2013, la Commission et la haute représentante de l’Union européenne pour les affaires étrangères et la politique de sécurité ont adopté une communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée «Stratégie de cybersécurité de l’Union européenne: un cyberespace ouvert, sûr et sécurisé» (1) (ci-après la «communication conjointe», la «stratégie de cybersécurité» ou la «stratégie»). |
2. |
Le même jour, la Commission a adopté une proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union (2) (ci-après la «directive proposée» ou la «proposition»). Cette proposition a été transmise au CEPD à des fins de consultation le 7 février 2013. |
3. |
Avant l’adoption de la communication conjointe et de la proposition, le CEPD a eu la possibilité de formuler des commentaires non officiels à la Commission. Il se félicite que certains de ses commentaires aient été pris en considération dans la communication conjointe et dans la proposition. |
4. Conclusions
74. |
Le CEPD se félicite que la Commission et la haute représentante de l’Union européenne pour les affaires étrangères et la politique de sécurité aient présenté une stratégie globale de cybersécurité assortie d’une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI) dans l’UE. Cette stratégie vient compléter les actions politiques déjà mises en œuvre par l’Union dans le domaine de la sécurité des réseaux et de l’information. |
75. |
Le CEPD se réjouit du fait que la stratégie aille au-delà de l’approche traditionnelle consistant à opposer sécurité et respect de la vie privée en prévoyant une reconnaissance explicite du respect de la vie privée et de la protection des données en tant que valeurs essentielles qui devraient inspirer la politique de cybersécurité dans l’UE et au niveau international. Le CEPD note que la stratégie de cybersécurité et la directive proposée sur la sécurité des réseaux et de l’information peuvent jouer un rôle fondamental en contribuant à garantir la protection des droits des personnes au respect de la vie privée et à la protection des données dans l’environnement en ligne. En même temps, il convient de veiller à ce qu’elles ne soient pas à l’origine de mesures qui constitueraient des atteintes illégales aux droits des personnes au respect de la vie privée et à la protection des données. |
76. |
Le CEPD salue également le fait que la protection des données soit mentionnée dans plusieurs parties de la stratégie et qu’elle soit prise en considération dans la directive proposée sur la sécurité des réseaux et de l’information. Il regrette toutefois que ni la stratégie, ni la directive proposée ne soulignent davantage la contribution apportée par la législation existante et à venir en matière de protection des données à la sécurité et ne garantissent pleinement que toutes les obligations découlant de la directive proposée ou d’autres éléments de la stratégie soient complémentaires avec les obligations de protection des données et qu’elles ne se chevauchent pas, ni ne se contredisent. |
77. |
Par ailleurs, le CEPD constate que, du fait qu’elle n’examine pas et ne prenne pas pleinement en considération d’autres initiatives parallèles de la Commission et d’autres procédures législatives en cours, comme la réforme de la protection des données et la proposition de règlement sur l’identification électronique et les services de confiance, la stratégie de cybersécurité n’offre pas de vision véritablement complète et globale de la cybersécurité au sein de l’Union et risque de perpétuer une approche fragmentée et compartimentée. Le CEPD note également que la directive proposée sur la sécurité des réseaux et de l’information ne permet pas encore une approche globale de la sécurité au sein de l’Union et que l’obligation prévue dans la législation sur la protection des données est probablement l’obligation de sécurité des réseaux et de l’information la plus complète dans le droit de l’UE. |
78. |
Le CEPD déplore également que le rôle majeur joué par les autorités chargées de la protection des données dans la mise en œuvre et l’exécution des obligations de sécurité ainsi que dans le renforcement de la cybersécurité ne soit pas non plus dûment pris en considération. |
79. |
En ce qui concerne la stratégie de cybersécurité, le CEPD met en lumière les éléments suivants:
|
80. |
En ce qui concerne la directive proposée sur la sécurité des réseaux et de l’information, le CEPD conseille aux législateurs:
|
Fait à Bruxelles, le 14 juin 2013.
Peter HUSTINX
Contrôleur européen de la protection des données
(1) JOIN(2013) 1 final.
(2) COM(2013) 48 final.