11.5.2012 |
FR |
Journal officiel de l'Union européenne |
C 136/1 |
Avis du Contrôleur européen de la protection des données sur les propositions législatives relatives au règlement extrajudiciaire et au règlement en ligne des litiges de consommation
2012/C 136/01
LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,
vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,
vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),
vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et notamment son article 41 (2),
A ADOPTÉ L’AVIS SUIVANT:
I. INTRODUCTION
I.1. Consultation du Contrôleur européen de la protection des données (CEPD) et objectif du présent avis
1. |
Le 29 novembre 2011, la Commission a adopté deux propositions législatives concernant le règlement extrajudiciaire des litiges (ci-après «les propositions»):
|
2. |
Le 6 décembre 2011, le CEPD a reçu les propositions REL et RLL à des fins de consultation. Il avait également été consulté de manière informelle avant l’adoption des propositions, puis présenté des observations informelles. Le CEPD se félicite de cette consultation précoce et du fait que la plupart des recommandations formulées dans lesdites observations ont été reprises dans les propositions. |
3. |
Le présent avis vise à analyser les traitements de données à caractère personnel prévus par les propositions et à expliquer comment ces dernières tiennent compte des questions liées à la protection des données. Il portera essentiellement sur la proposition RLL, cette dernière supposant un traitement centralisé des données à caractère personnel se rapportant aux litiges, via une plateforme en ligne. |
I.2. Objectif des propositions
4. |
Le règlement extrajudiciaire des litiges (REL) constitue un moyen de règlement des litiges généralement moins onéreux et plus rapide qu’une action en justice. La proposition REL vise à garantir l’existence d’organes de REL dans tous les États membres de l’Union européenne pour régler les litiges de consommation transfrontaliers découlant de la vente de biens ou de la prestation de services dans l’Union. |
5. |
La proposition RLL s’appuie sur l’existence de procédures de règlement extrajudiciaire des litiges de consommation dans toute l’Union européenne. Elle établit une plateforme en ligne (ci-après la «plateforme de RLL») que les consommateurs et les professionnels pourront utiliser pour transmettre à l’organe de REL compétent leurs réclamations concernant des transactions transfrontalières en ligne. |
II. OBSERVATIONS GÉNÉRALES
6. |
Le CEPD approuve l’objectif des propositions et salue la prise en compte des principes de la protection des données dès les premières phases du processus d’élaboration des propositions. |
7. |
Le CEPD se réjouit également du fait que les propositions RLL et REL fassent respectivement référence à l’applicabilité de la législation relative à la protection des données (5) et à l’applicabilité de la législation nationale adoptée en application de la directive 95/46/CE (6), ainsi que des références à la consultation du CEPD (7). |
III. OBSERVATIONS PARTICULIÈRES
III.1. Rôle des responsables du traitement: nécessité d’une répartition claire des responsabilités
8. |
Selon la proposition RLL, les données seront traitées par trois types d’acteurs dans le cadre de chaque litige transmis via la plateforme de RLL:
L’article 11, paragraphe 4, dispose que chacun de ces acteurs doit être considéré comme responsable du traitement des données à caractère personnel relevant de ses responsabilités. |
9. |
Or, bon nombre de ces responsables pourraient être jugés responsables du traitement des mêmes données à caractère personnel (9). Par exemple, les données transmises via la plateforme de RLL concernant un litige donné sont susceptibles d’être examinées par plusieurs facilitateurs pour le RLL et par l’organe de REL chargé de traiter le litige. Il est également possible que la Commission traite lesdites données à caractère personnel aux fins du fonctionnement et de la maintenance de la plateforme de RLL. |
10. |
À cet égard, le CEPD salue le fait que le considérant 20 de la proposition RLL dispose que la législation en matière de protection des données s’applique à tous ces acteurs. En revanche, la partie législative de la proposition RLL devrait au moins préciser, d’une part, à quel responsable du traitement les personnes concernées doivent adresser leurs demandes d’accès, de rectification, de verrouillage et d’effacement et, d’autre part, lequel serait responsable en cas de violation de la législation relative à la protection des données (en cas d’atteinte à la sécurité par exemple). Les personnes concernées devraient également en être informées. |
III.2. Limitation de l’accès et durée de conservation
11. |
D’après l’article 11 de la proposition RLL, l’accès aux données à caractère personnel traitées via la plateforme de RLL est uniquement accordé:
|
12. |
Le CEPD se réjouit de ces limitations des finalités et des droits d’accès. Il constate toutefois qu’il n’est pas possible d’établir clairement si l’ensemble des facilitateurs pour le RLL (54 au minimum) auront accès aux données à caractère personnel se rapportant à tous les litiges. Aussi recommande-t-il de préciser que chaque facilitateur pour le RLL aura uniquement accès aux données nécessaires à l’exécution des obligations qui lui incombent au titre de l’article 6, paragraphe 2. |
13. |
Pour ce qui est de la durée de conservation, le CEPD se félicite de l’article 11, paragraphe 3, qui ne permet la conservation des données à caractère personnel que pour la durée nécessaire au règlement du litige et aux fins de l’exercice du droit d’accès des personnes concernées. Il salue également l’obligation de supprimer automatiquement les données six mois après la date de fin du litige. |
III.3. Traitements portant sur des catégories particulières de données: nécessité éventuelle d’un contrôle préalable
14. |
Compte tenu de leur objectif, les propositions sont susceptibles de conduire au traitement de données à caractère personnel ayant trait à des suspicions, ainsi que de données relatives à la santé dans le cadre de litiges nés de la vente de biens ou de la prestation de services liés à la santé. |
15. |
Les traitements de données à caractère personnel effectués dans le cadre de la plateforme de RLL peuvent donc être soumis au contrôle préalable des autorités nationales compétentes en matière de protection des données et du CEPD, ainsi que l’exigent l’article 27 du règlement (CE) no 45/2001 et l’article 20 de la directive 95/46/CE (11). Le CEPD estime que la Commission a conscience de la nécessité d’évaluer, avant que la plateforme de RLL ne devienne opérationnelle, si lesdits traitements doivent être soumis à un contrôle préalable. |
III.4. Le CEPD devrait être consulté sur les actes délégués et les actes d’exécution portant sur le formulaire de réclamation
16. |
Les informations à mentionner sur le formulaire de réclamation électronique (ci-après «le formulaire») sont décrites dans l’annexe de la proposition RLL. Il s’agit notamment de données à caractère personnel concernant les parties (nom, adresse et, le cas échéant, adresse de messagerie électronique et site web) et de données destinées à déterminer l’organe de REL compétent pour traiter le litige en question (lieu de résidence du consommateur au moment de la commande des biens ou services, type de biens ou services en cause, etc.). |
17. |
Le CEPD se félicite de l’article 7, paragraphe 6, qui rappelle que seules les données précises, pertinentes et non disproportionnées peuvent être traitées via le formulaire et ses pièces jointes. En outre, la liste des données figurant en annexe respecte le principe de limitation des finalités. |
18. |
Cependant, cette liste peut être modifiée par des actes délégués, et les caractéristiques du formulaire seront définies par voie d’actes d’exécution (12). Le CEPD recommande l’ajout d’une référence à la nécessité de le consulter pour autant que ces actes concernent le traitement de données à caractère personnel. |
III.5. Mesures de sécurité: nécessité d’une évaluation des incidences sur la protection de la vie privée
19. |
Le CEPD se félicite des dispositions consacrées à la confidentialité et à la sécurité. Les mesures de sécurité décrites à l’article 12 de la proposition RLL portent notamment sur le contrôle de l’accès aux données, sur un plan de sécurité et sur la gestion des incidents de sécurité. |
20. |
Le CEPD recommande l’ajout d’une référence à la nécessité de procéder à une évaluation des incidences sur la protection de la vie privée (comprenant une évaluation des risques), ainsi qu’à la nécessité de contrôler périodiquement le respect de la législation relative à la protection des données et la sécurité des données et d’établir des rapports sur ces contrôles. |
21. |
En outre, le CEPD tient à rappeler qu’il importe d’intégrer la protection des données et de la vie privée dès le stade de la conception des outils informatiques mis au point aux fins de la mise en place de la plateforme de RLL (principe du respect de la vie privée dès la conception), notamment en créant des outils permettant aux utilisateurs de mieux protéger les données à caractère personnel (authentification et chiffrement, par exemple). |
III.6. Information des personnes concernées
22. |
Le CEPD se félicite du considérant 21 de la proposition RLL, selon lequel les personnes concernées doivent être informées du traitement de leurs données à caractère personnel ainsi que de leurs droits à l’aide d’une note d’information sur la protection de la vie privée rendue publique. L’obligation d’informer les personnes concernées devrait toutefois également être mentionnée dans la partie législative de la proposition. |
23. |
En outre, les personnes concernées devraient également être informées du responsable du traitement chargé de veiller au respect de leurs droits. La note d’information sur la protection de la vie privée doit être clairement visible par tout réclamant qui remplit le formulaire. |
IV. CONCLUSION
24. |
Le CEPD salue l’intégration des principes de la protection des données dans le texte, en particulier en ce qui concerne la limitation des finalités, de l’accès et de la durée de conservation et les mesures de sécurité. Toutefois, il recommande:
|
25. |
Le CEPD tient également à rappeler que les traitements de données à caractère personnel effectués dans le cadre de la plateforme de RLL sont susceptibles d’être soumis au contrôle préalable du CEPD et des autorités nationales compétentes en matière de protection des données. |
Fait à Bruxelles, le 12 janvier 2012.
Giovanni BUTTARELLI
Contrôleur adjoint européen de la protection des données
(1) JO L 281 du 23.11.1995, p. 31.
(2) JO L 8 du 12.1.2001, p. 1.
(3) COM(2011) 793 final.
(4) COM(2011) 794 final.
(5) Considérants 20 et 21 et article 11, paragraphe 4, de la proposition RLL.
(6) Considérant 16 de la proposition REL.
(7) Préambules et exposés des motifs des propositions.
(8) Chaque État membre devra désigner un point de contact pour le RLL, lequel comprendra au moins deux facilitateurs pour le RLL. La Commission mettra en place un réseau de points de contact pour le RLL.
(9) Voir également l’avis 1/2010 du groupe de travail «article 29» sur les notions de «responsable du traitement» et de «sous-traitant», adopté le 16 février 2010 (WP 169), p. 17-24, disponible sur l’internet à l’adresse suivante: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_fr.pdf
(10) Voir l’article 11, paragraphe 2, de la proposition RLL.
(11) L’article 27 du règlement (CE) no 45/2001 exige que les traitements de «données relatives à la santé et les traitements de données relatives à des suspicions, infractions, condamnations pénales ou mesures de sûreté» soient soumis au contrôle préalable du CEPD. Selon l’article 20, paragraphe 1, de la directive 95/46/CE, les traitements susceptibles de présenter des risques particuliers au regard de la protection des données, tels que définis par la législation nationale en matière de protection des données, sont soumis au contrôle préalable de l’autorité nationale en charge de la protection des données.
(12) Considérants 23 et 24 et article 7, paragraphes 4 et 5, de la proposition RLL.