|
11.10.2017 |
FR |
Journal officiel de l'Union européenne |
C 340/6 |
Résumé de l’avis sur la proposition de règlement établissant un portail numérique unique et sur le principe «une fois pour toutes»
[Le texte complet de l’avis en allemand, anglais et français est disponible sur le site internet du CEPD www.edps.europa.eu]
(2017/C 340/03)
La proposition est l’un des premiers instruments de l’Union européenne à faire explicitement référence au principe «une fois pour toutes», qui tend à ce que les citoyens et les entreprises soient invités à ne fournir qu’une seule fois les mêmes informations à une administration publique, laquelle peut ensuite réutiliser les informations dont elle dispose déjà. La proposition prévoit que l’échange de justificatifs pour certaines procédures transfrontières particulières (comme une demande de reconnaissance de diplôme) soit déclenché par la demande expresse d’un utilisateur et que la procédure se déroule dans le cadre d’un système technique mis en place par la Commission et les États membres et assorti d’un mécanisme intégré de prévisualisation assurant la transparence vis-à-vis de l’utilisateur.
Le CEPD se félicite de la proposition de la Commission de moderniser les services administratifs et apprécie que cette dernière se préoccupe de l’impact de sa proposition sur la protection des données à caractère personnel. Le présent avis est formulé à la demande spécifique de la Commission et du Parlement. Il s’inspire également des priorités fixées par la présidence estonienne du Conseil, qui incluent spécifiquement «une Europe numérique et la libre circulation des données».
En plus de formuler des recommandations spécifiques visant à poursuivre l’amélioration qualitative de la législation, le CEPD tient également à saisir cette occasion pour donner un premier aperçu des questions clés liées au principe «une fois pour toutes» en général, bien qu’un grand nombre d’entre elles ne découlent pas nécessairement de la proposition sous sa forme actuelle. Ces questions concernent, en particulier, la base juridique du traitement, la limitation de la finalité et les droits de la personne concernée. Le CEPD insiste sur le fait que pour assurer une mise en œuvre réussie du principe «une fois pour toutes» et permettre un échange transfrontière licite des données, ledit principe doit être appliqué conformément aux principes pertinents de la protection des données.
S’agissant de la proposition proprement dite, le CEPD soutient les efforts déployés pour s’assurer que les citoyens gardent le contrôle des données à caractère personnel les concernant, notamment en exigeant «une demande expresse de l’utilisateur» avant tout transfert de justificatifs entre autorités compétentes et en offrant à l’utilisateur la possibilité de «visualiser le justificatif avant l’échange». Il se réjouit également des modifications apportées au règlement IMI, qui confirment et actualisent les dispositions relatives au mécanisme de supervision coordonnée prévu pour le système d’information du marché intérieur («IMI») et permettraient également au comité européen de la protection des données de mettre à profit les possibilités techniques de l’IMI pour échanger des informations dans le cadre du règlement général sur la protection des données (RGPD).
Cet avis énonce des recommandations sur une série de questions, en insistant sur la base juridique de l’échange transfrontière de justificatifs, la limitation de la finalité et le champ d’application du principe «une fois pour toutes», ainsi que des préoccupations pratiques concernant le contrôle par l’utilisateur. Les recommandations principales précisent notamment que la proposition ne contient pas de base juridique pour l’utilisation du système technique en vue d’échanger des informations à des fins autres que celles prévues dans les quatre directives citées ou prévues par ailleurs dans le droit national ou de l’Union européenne applicable et que la proposition n’a pas pour but de restreindre le principe de la limitation de la finalité au titre du RGPD; elles clarifient également une série de points en rapport avec la mise en œuvre du contrôle par l’utilisateur. S’agissant des modifications du règlement IMI, le CEPD recommande d’ajouter le RGPD à l’annexe du règlement IMI afin de permettre l’utilisation potentielle de l’IMI aux fins de la protection des données.
1. INTRODUCTION ET CONTEXTE
Le 2 mai 2017, la Commission européenne (la «Commission») a adopté une proposition de règlement du Parlement européen et du Conseil établissant un programme numérique unique pour donner accès à des informations, des procédures et des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) no 1024/2012 (1) (la «proposition»).
La proposition vise à faciliter les activités transfrontières des citoyens et des entreprises en leur donnant, par le biais d’un portail numérique unique, un accès convivial aux informations, aux procédures et aux services d’assistance et de résolution de problèmes dont ils ont besoin pour exercer leurs droits dans le marché intérieur. Sous cet angle, cette proposition représente une initiative importante de la Commission pour réaliser un marché intérieur plus approfondi et plus équitable et développer un marché unique numérique (2).
Les articles 4 à 6 de la proposition décrivent brièvement les «services proposés par le portail» qu’offre le portail numérique unique. Ils reflètent étroitement l’intitulé de la proposition proprement dite et incluent:
|
— |
l’accès aux informations, |
|
— |
l’accès aux procédures, et |
|
— |
l’accès aux services d’assistance et de résolution de problèmes. |
Il est également à noter que la proposition, en son article 36, tend à modifier plusieurs dispositions du règlement (UE) no 1024/2012 («règlement IMI») (3), qui établit la base juridique du fonctionnement du système d’information du marché intérieur («IMI») (4).
La proposition est l’un des premiers instruments de l’Union européenne qui fait explicitement référence au principe «une fois pour toutes» et qui le met en œuvre (5). Elle fait référence à la notion «une fois pour toutes» et à ses avantages en expliquant que les «citoyens et les entreprises ne devraient pas être tenus de fournir les mêmes informations à des autorités publiques plus d’une fois dans le contexte de l’échange transfrontière de justificatifs» (6). La proposition prévoit que l’échange de justificatifs pour certaines procédures soit déclenché par la demande d’un utilisateur et passe par le système technique mis en place par la Commission et les États membres (7) (pour plus de détails, voir la section 3 ci-dessous).
Le présent avis répond à une demande de la Commission et à une demande ultérieure distincte du Parlement européen (le «Parlement») adressées au Contrôleur européen de la protection des données («CEPD»), en tant qu’autorité de contrôle indépendante, de présenter un avis sur la proposition. Le CEPD se réjouit d’avoir été consulté par les deux institutions. Le présent avis fait suite à une consultation informelle du CEPD par la Commission avant l’adoption de la proposition.
Le CEPD en prend note et se félicite de la proposition de la Commission de moderniser les services administratifs en améliorant la disponibilité, la qualité et l’accessibilité des informations dans l’Union européenne. Il insiste aussi tout particulièrement sur le fait que le principe «une fois pour toutes» pourrait contribuer à la réalisation de ces objectifs, sous réserve du respect de la législation applicable en matière de protection des données et du respect des droits fondamentaux des personnes.
Le CEPD apprécie que la Commission et le Parlement se préoccupent de l’impact que la présente proposition pourrait avoir sur la protection des données à caractère personnel. Il se réjouit que bon nombre de ses commentaires informels aient été pris en considération. Il soutient tout particulièrement:
|
— |
les efforts déployés pour s’assurer que les personnes gardent le contrôle des données à caractère personnel les concernant, notamment en exigeant «une demande expresse de l’utilisateur» avant tout transfert de preuve entre autorités compétentes (article 12, paragraphe 4) et en offrant à l’utilisateur la possibilité de «visualiser le justificatif avant l’échange» (article 12, paragraphe 2, point e)], |
|
— |
les efforts déployés pour définir le champ d’application matériel du principe «une fois pour toutes» (article 12, paragraphe 1), |
|
— |
l’exigence expresse d’utiliser des données anonymisées et/ou agrégées pour la collecte des statistiques et des avis des utilisateurs pertinents (articles 21 à 23), |
|
— |
il se félicite en outre de la modification proposée au règlement IMI, qui confirme et actualise les dispositions relatives au mécanisme de surveillance coordonnée de l’IMI en vue d’assurer une approche cohérente (article 36, paragraphe 6, point b)], |
|
— |
enfin, sont également accueillies favorablement, les dispositions plus générales marquant l’engagement de veiller au respect des droits fondamentaux des personnes, notamment le droit à la protection des données à caractère personnel, tels que ceux visés aux considérants 43 et 44 et à l’article 29. |
Le présent avis a pour but de formuler des recommandations spécifiques afin de lever les dernières préoccupations liées à la protection des données et d’améliorer ainsi davantage la qualité de la législation (voir la section 3 ci-dessous). Parmi les trois services proposés par le portail énumérés plus haut, le présent avis se concentrera sur l’«accès aux procédures» (article 5) et, notamment, sur les dispositions relatives à l’«échange transfrontière de justificatifs entre autorités compétentes» visé à l’article 12, étant donné qu’elles sont les plus pertinentes pour la protection des données à caractère personnel. Le reste de la proposition (y compris ses dispositions sur l’accès à l’information et l’accès aux services d’assistance et de résolution de problèmes) soulève moins de préoccupations en termes de protection des données. Par ailleurs, le CEPD commente également brièvement certaines modifications proposées au règlement IMI.
En outre, le CEPD tient également à profiter de cette occasion pour donner un premier aperçu des questions clés liées au principe «une fois pour toutes» en général, bien qu’un grand nombre d’entre elles ne découlent pas nécessairement de la proposition sous sa forme actuelle (voir la section 2 ci-dessous).
4. CONCLUSIONS
Le CEPD se félicite de la proposition de la Commission de moderniser les services administratifs en améliorant la disponibilité, la qualité et l’accessibilité des informations au sein de l’Union européenne et apprécie la consultation et les préoccupations de la Commission et du Parlement quant à l’impact que cette proposition pourrait avoir sur la protection des données à caractère personnel.
En plus de formuler des recommandations spécifiques visant à poursuivre l’amélioration qualitative de la législation, le CEPD tient également à saisir cette occasion de donner un premier aperçu des questions clés liées au principe «une fois pour toutes» en général, bien qu’un grand nombre d’entre elles ne découlent pas nécessairement de la proposition sous sa forme actuelle. Ces questions portent notamment sur:
|
— |
la base juridique du traitement, |
|
— |
la limitation de la finalité, |
|
— |
et les droits des personnes concernées. |
Le CEPD insiste sur le fait que pour assurer une mise en œuvre réussie du principe «une fois pour toutes» et permettre un échange transfrontière licite des données, ledit principe doit être appliqué conformément aux principes pertinents de la protection des données.
S’agissant de la proposition proprement dite, le CEPD soutient:
|
— |
les efforts déployés pour s’assurer que les personnes gardent le contrôle des données à caractère personnel les concernant, notamment en exigeant «une demande expresse de l’utilisateur» avant tout transfert de justificatifs entre autorités compétentes (article 12, paragraphe 2) et en offrant à l’utilisateur la possibilité de «visualiser le justificatif avant l’échange» [article 12, paragraphe 2, point e)], |
|
— |
les efforts déployés pour définir le champ d’application matériel du principe «une fois pour toutes» (article 12, paragraphe 1), et |
|
— |
il se félicite en outre de la modification proposée au règlement IMI, qui confirme et actualise les dispositions relatives au mécanisme de surveillance coordonnée de l’IMI en vue d’assurer une approche cohérente (article 36, paragraphe 6, point b)], |
|
— |
il se réjouit également de l’inclusion des organes de l’Union européenne dans la définition des participants IMI dans la proposition, ce qui peut contribuer à aider le comité européen de la protection des données à exploiter les possibilités techniques offertes par l’IMI pour l’échange d’informations. |
S’agissant de la base juridique du traitement, le CEPD recommande qu’un ou plusieurs considérants soient ajoutés pour préciser que:
|
— |
la proposition proprement dite ne prévoit pas de base juridique pour l’échange de justificatifs et que tout échange au titre de l’article 12, paragraphe 1, doit avoir une base juridique appropriée par ailleurs, comme dans les quatre directives énumérées dans cette disposition ou dans le droit l’Union ou dans le droit national applicable, |
|
— |
la base juridique pour l’utilisation du système technique prévu à l’article 12 pour l’échange de justificatifs est l’exécution d’une mission d’intérêt public au sens de l’article 6, paragraphe 1, point e), du RGPD, et que |
|
— |
les utilisateurs ont le droit de s’opposer au traitement de données à caractère personnel les concernant dans le système technique, en application de l’article 21, paragraphe 1, du RGPD. |
S’agissant de la limitation de la finalité, le CEPD recommande qu’un ou plusieurs considérants soient ajoutés pour préciser que:
|
— |
la proposition ne contient pas de base juridique pour l’utilisation du système technique en vue d’échanger des informations pour des finalités autres que celles visées dans les quatre directives énumérées ou prévues par ailleurs dans le droit de l’Union ou dans le droit national applicable, |
|
— |
et que la proposition ne tend en aucune façon à restreindre le principe de la limitation de la finalité énoncé à l’article 6, paragraphe 4, et à l’article 23, paragraphe 1, du RGPD. |
S’agissant de la notion de «demande expresse», le CEPD recommande que la proposition clarifie (de préférence, dans une disposition de fond):
|
— |
ce qu’est une demande «expresse» et dans quelle mesure la demande doit être spécifique, |
|
— |
si la demande peut être soumise par l’intermédiaire du système technique visé à l’article 12, paragraphe 1, |
|
— |
quelles sont les conséquences si l’utilisateur choisit de ne pas formuler de «demande expresse» et |
|
— |
si une telle demande peut être retirée. (Pour les recommandations spécifiques, voir la section 3.3 ci-dessus.) |
S’agissant de la question de la «visualisation avant l’échange», le CEPD recommande que:
|
— |
la proposition précise quels sont les choix qui s’offrent à l’utilisateur qui met à profit la possibilité de «visualiser» les données avant l’échange, |
|
— |
en particulier, l’article 12, paragraphe 2, point e), devrait clarifier que l’utilisateur a la possibilité de visualiser le justificatif en temps utile avant qu’il ne soit accessible au destinataire et qu’il peut retirer la demande d’échange du justificatif (voir également les recommandations connexes sur les «demandes expresses»), |
|
— |
ceci peut se faire, par exemple, en insérant le segment suivant à la fin de l’article 12, paragraphe 2, point e): «avant qu’il soit accessible à l’autorité demandeuse et de retirer sa demande à tout moment». |
S’agissant de la définition d’un justificatif et de l’éventail de procédures en ligne couvertes, le CEPD recommande:
|
— |
de remplacer la référence à l’article 2, paragraphe 2, point b), à l’article 3, paragraphe 4, par une référence à l’article 12, paragraphe 1, ou de proposer une autre solution législative produisant un effet similaire, |
|
— |
le CEPD souligne également qu’il se félicite des efforts déployés par la Commission dans la proposition en vue de limiter l’échange d’informations aux procédures en ligne énumérées à l’annexe II et dans les quatre directives spécifiquement visées, |
|
— |
il recommande donc que le champ d’application de la proposition reste clairement défini et continue d’inclure l’annexe II et les références aux quatre directives spécifiquement visées. |
Enfin, le CEPD recommande:
|
— |
d’ajouter le RGPD à l’annexe du règlement IMI afin de permettre l’utilisation potentielle de l’IMI aux fins de la protection des données, et |
|
— |
d’ajouter les autorités de contrôle de la protection des données à la liste des services d’assistance et de résolution de problèmes énumérés à l’annexe III. |
Fait à Bruxelles, le 1er août 2017.
Giovanni BUTTARELLI
Contrôleur européen de la protection des données
(1) Proposition de règlement du Parlement européen et du Conseil établissant un programme numérique unique pour donner accès à des informations, des procédures et des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) no 1024/2012, COM(2017) 256 final, 2017/0086 (COD) (ci-après «la proposition»).
(2) Exposé des motifs de la proposition, p. 2.
(3) Règlement (UE) no 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI»), JO L 316 du 14.11.2012, p. 1.
(4) Voir aussi l’avis du CEPD du 22 novembre 2011 sur la proposition de la Commission de règlement du Parlement européen et du Conseil concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur («IMI») disponible à l’adresse: https://edps.europa.eu/sites/edp/files/publication/11-11-22_imi_opinion_fr.pdf
(5) Voir aussi article 14 de la proposition de directive du Parlement européen et du Conseil relative au cadre juridique et opérationnel applicable à la carte électronique européenne de services introduite par le règlement … [Règlement CES], COM (2016) 823 final, 2016/0402(COD).
(6) Considérant 28 de la proposition.
(7) Article 12, paragraphes 1 et 4, de la proposition.