6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/1

1.

Le 28 mai 2008, la présidence du Conseil de l'Union européenne a annoncé au Coreper, dans la perspective du sommet UE-États-Unis du 12 juin 2008, que le Groupe de contact à haut niveau UE/États-Unis (EU-US High Level Contact Group — ci-après dénommé «HLCG») sur le partage d'informations et la protection de la vie privée et des données à caractère personnel avait établi la version définitive de son rapport. Celui-ci a été publié le 26 juin 2008 (1).

2.

Ce rapport vise à dégager des principes communs pour la protection de la vie privée et des données à caractère personnel, première étape vers l'échange d'informations avec les États-Unis aux fins de la lutte contre le terrorisme et les formes graves de criminalité transnationale.

3.

Dans son annonce, la présidence du Conseil déclare que toutes les idées concernant les actions à mener dans le prolongement de ce rapport seraient les bienvenues, et en particulier les réactions aux recommandations figurant dans le rapport concernant les voies à suivre. Le CEPD répond à cette invitation en formulant le présent avis, sur la base de l'état des lieux tel qu'il a été publié et sans préjudice de toute autre position qu'il pourrait adopter ultérieurement en fonction de l'évolution de la question.

4.

Le CEPD note que les travaux du HLCG ont eu pour toile de fond le développement, particulièrement marqué depuis le 11 septembre 2001, des échanges de données entre les États-Unis et l'UE, dans le cadre d'accords internationaux et d'autres types d'instruments. On peut notamment citer les accords conclus par Europol et Eurojust avec les États-Unis, ainsi que les accords PNR et l'affaire Swift, qui ont donné lieu à un échange de lettres entre les responsables européens et américains en vue d'établir des garanties minimales pour la protection des données (2).

5.

Par ailleurs, l'UE négocie et adopte également des instruments similaires relatifs à l'échange de données à caractère personnel avec d'autres pays tiers. L'accord entre l'Union européenne et l'Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) provenant de l'Union européenne par les transporteurs aériens au service des douanes australien en est un exemple récent (3).

6.

Il ressort de ce contexte que les demandes d'informations à caractère personnel émanant d'autorités répressives de pays tiers ne cessent de s'élargir, et qu'elles ne portent plus uniquement sur les bases de données gouvernementales traditionnelles mais s'étendent aussi à d'autres types de dossiers, notamment des dossiers contenant des données collectées par le secteur privé.

7.

Le CEPD juge également important de rappeler, pour éclairer la toile de fond, que la question du transfert de données à caractère personnel à des pays tiers dans le cadre de la coopération policière et judiciaire en matière pénale fait l'objet de la décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (4), qui devrait être adoptée avant la fin de 2008.

8.

Il faut s'attendre à ce que cet échange transatlantique d'informations se développe et touche de nouveaux secteurs dans lesquels ont lieu des traitements de données à caractère personnel. Dans ce contexte, un dialogue sur la «répression transatlantique» est tout à la fois opportun et délicat. Il est opportun parce qu'il pourrait fournir un cadre plus clair pour les échanges de données qui ont ou auront lieu. Il est en même temps délicat parce qu'un tel cadre pourrait légitimer des transferts de données massifs dans un domaine — la répression — où les conséquences pour les personnes sont particulièrement graves et où des garanties strictes et fiables sont, de ce fait, d'autant plus nécessaires (5).

9.

Dans le prochain chapitre du présent avis, le CEPD examinera la situation actuelle et les pistes envisageables. Le chapitre III sera consacré au champ d'application et à la nature d'un instrument qui permettrait le partage d'informations. Au chapitre IV, le CEPD analysera d'un point de vue général les questions juridiques liées au contenu d'un éventuel accord. Il abordera notamment les conditions d'évaluation du niveau de protection offert aux État-Unis et se penchera sur la question de l'utilisation du cadre réglementaire de l'UE comme point de comparaison pour évaluer ce niveau. Ce chapitre contiendra également une liste des exigences de base qu'un tel accord devrait comporter. Enfin, au chapitre V, le CEPD analysera les principes relatifs au respect de la vie privée annexés au rapport du HLCG.

10.

Le CEPD estime que la situation actuelle est la suivante: des progrès ont été réalisés en matière de définition de normes communes relatives au partage d'informations et à la protection de la vie privée et des données à caractère personnel.

11.

Cependant, les travaux préparatoires nécessaires à tout type d'accord entre l'UE et les États-Unis ne sont pas encore terminés. Des travaux supplémentaires sont nécessaires. Le rapport du HLCG mentionne lui-même un certain nombre de questions en suspens, dont la plus saillante est celle du recours. Un désaccord subsiste quant au champ d'application que doit avoir la protection juridictionnelle (6). Cinq autres questions en suspens sont recensées au chapitre 3 du rapport. En outre, comme on le montrera dans le présent avis, de nombreuses autres questions ne sont pas encore réglées, telles que le champ d'application et la nature d'un instrument relatif au partage d'informations.

12.

Le fait que l'option privilégiée dans le rapport soit un accord contraignant — le CEPD partageant cette préférence — doit inciter à la plus grande prudence. Des préparatifs supplémentaires rigoureux et approfondis sont nécessaires avant qu'un accord puisse être conclu.

13.

Enfin, le CEPD estime que la meilleure solution serait de conclure un accord dans le cadre du traité de Lisbonne, pour autant, naturellement, que celui-ci entre en vigueur. On éviterait ainsi toute insécurité juridique quant à la séparation entre les piliers de l'UE. En outre, la pleine participation du Parlement européen serait garantie, ainsi que le contrôle juridictionnel de la Cour de justice.

14.

Dans ces circonstances, l'établissement d'une feuille de route en vue d'un éventuel accord ultérieur constituerait la meilleure solution. Cette feuille de route pourrait prévoir les éléments suivants:

15.

Le CEPD considère qu'il est indispensable de définir clairement le champ d'application et la nature d'un éventuel instrument édictant des principes relatifs à la protection des données, comme première étape de son élaboration.

16.

En ce qui concerne le champ d'application, les questions importantes auxquelles il convient de répondre sont les suivantes:

17.

Lors de la définition de la nature de l'instrument, il convient de clarifier les points suivants:

18.

Bien qu'aucune indication claire ne figure dans le rapport du HLCG quant au champ d'application précis du futur instrument, on peut déduire des principes qui s'y trouvent mentionnés qu'il devrait couvrir tant les transferts entre acteurs privés et publics (7) que les transferts entre autorités publiques.

19.

Le CEPD perçoit la logique de l'applicabilité d'un futur instrument aux transferts entre acteurs privés et publics. L'élaboration d'un tel instrument s'inscrit dans le contexte des demandes d'informations adressées ces dernières années par les États-Unis à des parties privées. Le CEPD constate en effet que les acteurs privés deviennent une source d'informations systématique dans le domaine de la répression, que ce soit au niveau de l'UE ou au niveau international (8). L'affaire SWIFT, dans laquelle le transfert systématique et massif de données a été réclamé à une société privée par les autorités répressives d'un État tiers, a constitué un précédent majeur (9). La collecte de données PNR auprès des compagnies aériennes s'inscrit dans cette même logique. Dans son avis sur un projet de décision-cadre relative à un système PNR européen, le CEPD s'est déjà interrogé sur la légitimité de cette tendance (10).

20.

Deux autres motifs incitent à faire preuve de réticence en ce qui concerne l'inclusion des transferts entre acteurs privés et publics dans le champ d'application d'un futur instrument.

21.

Premièrement, cette inclusion pourrait avoir un effet non désiré sur le propre territoire de l'UE. Le CEPD craint fortement que l'acceptation du principe selon lequel les données de sociétés privées (comme les institutions financières) peuvent être transférées à des pays tiers n'entraîne une forte pression pour que ce même type de données puisse également être mis à la disposition des autorités répressives au sein de l'UE. Le système PNR est un exemple de cette évolution indésirable: il a débuté par une collecte massive, par les États-Unis, de données relatives aux passagers, pour être ensuite transposé dans le contexte interne européen (11), sans que la nécessité et la proportionnalité du système aient été clairement démontrées.

22.

Deuxièmement, dans son avis sur la proposition de la Commission concernant un système PNR européen, le CEPD a également soulevé la question du cadre qui, en matière de protection des données (premier ou troisième pilier), doit s'appliquer aux conditions d'une coopération entre acteurs publics et privés: les règles devraient-elles être fondées sur la qualité du responsable du traitement (secteur privé) ou sur la finalité poursuivie (répression)? La frontière entre le premier et le troisième pilier est loin d'être claire lorsque des acteurs privés sont soumis à l'obligation de traiter des données à caractère personnel à des fins répressives. Il est, à cet égard, significatif que l'avocat général BOT, dans ses récentes conclusions sur une affaire relative à la conservation de données (12), propose une ligne de démarcation pour les cas visés ci-dessus, en ajoutant toutefois: «Cette ligne de démarcation n'est certes pas exempte de toute critique et peut paraître, à certains égards, artificielle». Le CEPD note également que l'arrêt de la Cour (13) relatif aux données PNR ne répond pas totalement à la question du cadre juridique applicable. À titre d'exemple, le fait que certaines activités ne soient pas couvertes par la directive 95/46/CE ne signifie pas nécessairement qu'elles peuvent être réglementées dans le cadre du troisième pilier. En conséquence, cet arrêt laisse sans doute subsister un vide juridique en ce qui concerne la législation applicable et, en tout état de cause, crée une insécurité juridique quant aux garanties juridiques dont disposent les personnes concernées.

23.

Dans cette optique, le CEPD souligne qu'il convient de veiller à ce qu'un futur instrument contenant des principes généraux relatifs à la protection des données ne puisse légitimer en tant que tel le transfert transatlantique de données à caractère personnel entre des parties privées et publiques. Ce transfert ne peut être prévu dans un futur instrument que si:

En outre, le CEPD souligne l'insécurité qui règne quant au cadre juridique applicable en matière de protection des données et recommande dès lors, en tout état de cause, de ne pas prévoir, en l'état l'actuel de la législation de l'UE, le transfert de données à caractère personnel entre parties privées et publiques.

24.

La portée exacte de l'échange d'informations est peu claire. La première étape des travaux à mener en vue de l'élaboration d'un instrument commun devrait consister à préciser le champ d'application que l'on envisage de donner à ce dernier. Des questions subsistent notamment en ce qui concerne les points suivants:

25.

La définition de la finalité d'un accord éventuel est également source d'incertitude. Les finalités répressives sont clairement indiquées dans l'introduction, ainsi que dans le premier principe annexé au rapport, et elles feront l'objet d'une analyse plus approfondie au chapitre IV du présent avis. Le CEPD relève d'ores et déjà qu'il ressort de ces indications que les échanges de données porteront sur les questions relevant du troisième pilier, mais que l'on peut se demander s'il ne s'agit pas uniquement d'une première étape vers un échange plus large d'informations. Il paraît clair que les objectifs de «sécurité publique» cités dans le rapport comprennent la lutte contre le terrorisme, la criminalité organisée et d'autres formes de criminalité. L'instrument est-il toutefois destiné à couvrir également les échanges de données dans d'autres domaines d'intérêt public, tels que la protection de la santé publique?

26.

Le CEPD recommande de limiter la finalité à des traitements de données définis avec précision et de justifier les choix stratégiques qui sont à l'origine de cette définition.

27.

La portée très large du rapport doit être replacée dans le contexte de l'espace transatlantique global de sécurité examiné par le «Groupe sur l'avenir de la politique intérieure» (14). Dans son rapport publié en juin 2008, ce groupe met l'accent, dans une certaine mesure, sur la dimension extérieure de la politique intérieure. Il estime que «d'ici 2014, l'Union européenne devra s'interroger sur l'objectif politique de créer une zone de coopération euro-atlantique dans le domaine de la liberté, de la sécurité, et de la justice en partenariat avec les États-Unis». Cette coopération irait au-delà de la sécurité au sens strict et inclurait, au minimum, les sujet traités au titre IV du traité CE, tels que l'immigration, les visas, l'asile et la coopération en matière civile. Il convient de se demander dans quelle mesure un accord sur les principes fondamentaux relatifs à la protection des données, tels que ceux mentionnés dans le rapport du HLCG, pourrait et devrait constituer la base d'un échange d'informations dans un domaine aussi vaste.

28.

En principe, d'ici 2014, la structure en piliers disparaîtra et il n'existera qu'une seule base juridique pour la protection des données dans l'UE (dans le cadre du traité de Lisbonne, article 16 du traité sur le fonctionnement de l'Union européenne). Néanmoins, le fait qu'il existe une harmonisation au niveau de l'UE en ce qui concerne la réglementation de la protection des données ne signifie pas que tout accord conclu avec un pays tiers pourrait autoriser le transfert de données à caractère personnel, quelle que soit la finalité poursuivie. Selon le contexte et les conditions du traitement, des garanties adaptées en matière de protection des données pourraient être requises dans des domaines spécifiques tels que la répression. Le CEPD recommande de tenir compte des conséquences de ces différentes considérations lors de l'élaboration d'un futur accord.

29.

Pour le court terme en tout état de cause, il est essentiel de déterminer le pilier au titre duquel l'accord sera négocié, notamment afin de savoir quel sera le cadre réglementaire interne en matière de protection des données sur lequel cet accord aura des incidences. S'agira-t-il du cadre en vigueur au titre du premier pilier — principalement la directive 95/46/CE et son régime spécifique pour le transfert de données aux pays tiers — ou de celui relevant du troisième pilier, qui prévoit un régime moins strict pour ce type de transfert? (15)

30.

Si les objectifs répressifs sont prédominants, comme indiqué précédemment, le rapport du HLCG mentionne cependant la collecte de données auprès d'acteurs privés; les finalités peuvent également être interprétées de façon large et aller au-delà de la sécurité proprement dite, pour toucher à des questions liées à l'immigration et au contrôle des frontières, mais aussi éventuellement à la santé publique. Compte tenu de ces incertitudes, il serait hautement préférable d'attendre l'harmonisation des piliers dans le cadre du droit européen, comme le prévoit le traité de Lisbonne, afin d'établir clairement la base juridique des négociations et le rôle précis des institutions européennes, en particulier le Parlement européen et la Commission.

31.

Il conviendrait de préciser si les conclusions des discussions déboucheront sur un mémorandum d'accord ou un autre instrument non contraignant, ou si elles conduiront à un accord international contraignant.

32.

Le CEPD partage la préférence, manifestée dans le rapport, pour un accord contraignant. Un accord officiel contraignant est, selon lui, une condition préalable indispensable à tout transfert de données à l'extérieur de l'UE, quelle que soit sa finalité. Aucun transfert de données ne peut avoir lieu vers un pays tiers sans conditions et garanties adéquates fixées dans un cadre juridique spécifique (et contraignant). En d'autres termes, un mémorandum d'accord ou un autre instrument non contraignant peut être utile pour fournir des orientations en vue de la négociation d'accords contraignants ultérieurs, mais ne permettra pas de faire l'économie d'un accord contraignant.

33.

Les dispositions de l'instrument devraient être contraignantes tant pour les États-Unis que pour l'UE et ses États membres.

34.

Il conviendrait également de veiller à ce que les particuliers puissent exercer leurs droits, et notamment celui de former un recours, sur la base des principes fixés. Selon le CEPD, le meilleur moyen d'y parvenir est de formuler les dispositions de fond de l'instrument de manière à ce qu'elles aient un effet direct pour les résidents de l'Union européenne et qu'elles puissent être invoquées devant un tribunal. L'effet direct des dispositions de l'accord international, ainsi que les conditions de sa transposition en droit interne européen et national afin de garantir l'effectivité des mesures, doivent dès lors être indiqués clairement dans l'instrument.

35.

Il est également fondamental de se poser la question de savoir dans quelle mesure l'accord est autonome ou doit être complété au cas par cas par d'autres accords portant sur des échanges spécifiques de données. Il est en effet peu probable qu'un seul accord puisse couvrir de manière adéquate, par une seule série de normes, les spécificités multiples du traitement de données dans le cadre du troisième pilier. On peut encore davantage douter qu'un seul accord puisse permettre, sans discussions ou garanties supplémentaires, l'approbation inconditionnelle de tout transfert de données à caractère personnel, quelles que soient la finalité du transfert et la nature des données concernés. En outre, les accords conclus avec des pays tiers ne sont pas nécessairement permanents, car ils peuvent être liés à des menaces particulières, faire l'objet d'un réexamen ou être assortis de clauses de limitation dans le temps. Par ailleurs, des normes minimales communes reconnues dans un instrument contraignant pourraient faciliter toute discussion ultérieure sur le transfert de données à caractère personnel en rapport avec une base de données ou des traitements spécifiques.

36.

Le CEPD préconise donc, plutôt qu'un accord autonome, l'élaboration d'une série minimale de critères applicables à la protection des données, qui devraient être complétés au cas par cas par des dispositions spécifiques, comme indiqué dans le rapport du HLCG. Ces dispositions spécifiques complémentaires constitueraient une condition préalable à l'autorisation de tout transfert de données dans chaque cas particulier. On favoriserait ainsi une approche harmonisée en matière de protection des données.

37.

Il conviendrait aussi d'examiner comment un éventuel accord général s'articulerait avec les accords déjà existants conclus entre l'UE et les États-Unis. Il est à noter que ces accords existants ne possèdent pas le même caractère contraignant: c'est le cas, notamment, de l'accord PNR (celui qui présente la plus grande sécurité juridique), des accords Europol et Eurojust, ou de l'échange de lettres dans l'affaire SWIFT (16). Un nouveau cadre général viendrait-il compléter ces instruments, ou ceux-ci resteraient-ils inchangés, le nouveau cadre ne s'appliquant qu'aux futurs échanges de données à caractère personnel? Le CEPD considère que, pour garantir la cohérence juridique, il serait approprié de fixer une série harmonisée de règles, qui s'appliqueraient à la fois aux accords contraignants existants et futurs sur les transferts de données et les compléteraient.

38.

L'application de l'accord général aux instruments existants présenterait l'avantage de renforcer le caractère contraignant de ces derniers, ce qui serait particulièrement opportun dans le cas des instruments qui ne sont pas juridiquement contraignants, comme l'échange de lettres dans l'affaire SWIFT, car cela imposerait l'observation d'une série de principes généraux en matière de respect de la vie privée.

39.

Dans le présent chapitre, on examinera la méthode à suivre pour évaluer le niveau de protection d'un cadre ou d'un instrument spécifique, et on abordera notamment la question des points de comparaison à utiliser et des exigences de base nécessaires.

40.

Selon le CEPD, il devrait être clair qu'un des principaux résultats d'un futur instrument sera que le transfert de données à caractère personnel vers les États-Unis ne pourra avoir lieu que si les autorités de ce pays garantissent un niveau de protection adéquat (et vice versa).

41.

Le CEPD considère qu'il ne peut exister de garanties suffisantes quant au niveau de protection des données à caractère personnel que si une véritable analyse du caractère adéquat de ce niveau de protection est mise en place. Il estime que, soumis à une telle analyse, un accord-cadre général d'une portée aussi vaste que celle envisagée dans le rapport du HLCG obtiendrait difficilement, en tant que tel, des résultats satisfaisants. L'adéquation du niveau de protection offert par l'accord général ne pourra être reconnue que si celui-ci est complété par des accords spécifiques conclus au cas par cas et offrant également un niveau de protection suffisant.

42.

L'appréciation du niveau de protection offert par des pays tiers n'est pas un exercice inhabituel, en particulier pour la Commission européenne: le caractère adéquat de cette protection est, en vertu du premier pilier, une condition préalable au transfert. Elle a été mesurée à plusieurs occasions au titre de l'article 25 de la directive 95/46/CE sur la base de critères spécifiques, et confirmée par des décisions de la Commission européenne (17). Dans le cadre du troisième pilier, aucun système similaire n'est explicitement prévu: la vérification du caractère adéquat du niveau de protection n'est prescrite que dans le cas spécifique prévu aux articles 11 et 13 de la décision-cadre sur la protection des données (18) — qui n'a pas encore été adoptée — et relève de la responsabilité des États membres.

43.

En l'espèce, l'exercice porte sur des finalités répressives, et les discussions sont menées par la Commission, sous la supervision du Conseil. Le contexte est différent de celui dans lequel a été réalisée l'évaluation des principes de la «sphère de sécurité» ou de l'adéquation de la législation canadienne, et se rapproche plutôt de celui dans lequel ont eu lieu les récentes négociations PNR avec les États-Unis et l'Australie, menées dans un cadre juridique relevant du troisième pilier. Cependant, les principes préconisés par le HLCG ont également été mentionnés dans le cadre du programme d'exemption de visa, qui concerne les frontières et l'immigration et, par conséquent, des questions relevant du premier pilier.

44.

Le CEPD recommande que toute analyse de l'adéquation réalisée dans le cadre d'un futur instrument repose sur les expériences acquises dans ces différents domaines. Il préconise le développement, dans le cadre d'un futur instrument et sur la base de critères similaires, de la notion d'«adéquation» utilisée dans les analyses menées précédemment.

45.

Le deuxième élément du niveau de protection est lié à la reconnaissance mutuelle des systèmes de l'UE et des États-Unis. Dans son rapport, le HLCG indique, à cet égard, que l'objectif consisterait à «obtenir la reconnaissance, par chacune des parties, de l'efficacité des systèmes de protection de la vie privée et des données de l'autre partie dans les domaines couverts par ces principes» (19), et de parvenir à «une application équivalente et réciproque de la législation en matière de protection de la vie privée et des données à caractère personnel» (traduction du Conseil).

46.

Selon le CEPD, il va de soi que la reconnaissance mutuelle (ou la réciprocité) n'est possible que si un niveau de protection adéquat est garanti. Autrement dit, le futur instrument devrait fixer un niveau minimum harmonisé de protection (par une appréciation du niveau de protection offert, compte tenu de la nécessité de conclure des accords spécifiques au cas par cas). La réciprocité ne pourra être admise qu'à cette condition.

47.

Le premier élément à prendre en considération est la réciprocité des dispositions de fond relatives à la protection des données. Selon le CEPD, un accord devrait traiter cette notion d'une manière qui garantisse, d'une part, que les traitements de données effectués sur le territoire de l'UE (et des États-Unis) respectent intégralement les législations internes en matière de protection des données et, d'autre part, que les traitements réalisés à l'extérieur du pays d'origine des données et entrant dans le champ d'application de l'accord respectent les principes relatifs à la protection des données énoncés dans l'accord.

48.

Le deuxième élément à prendre en compte est la réciprocité des mécanismes de recours. Il convient de veiller à ce que les citoyens européens disposent de voies de recours adéquates lorsque des données qui les concernent sont traitées aux États-Unis (indépendamment de la législation applicable à ce traitement), mais aussi à ce que l'Union européenne et ses États membres accordent des droits équivalents aux citoyens des États-Unis.

49.

Le troisième élément à considérer est la réciprocité de l'accès des autorités répressives aux données à caractère personnel. Si un instrument autorise l'accès des autorités des États-Unis aux données provenant de l'Union européenne, la réciprocité impliquerait que les autorités de l'UE aient, elles aussi, accès aux données provenant des États-Unis. La réciprocité ne doit pas nuire à l'effectivité de la protection des personnes concernées. Ceci constitue une condition préalable à l'octroi aux autorités répressives d'un accès «transatlantique». Concrètement, cela signifie que:

50.

La spécification des conditions d'évaluation (adéquation, équivalence, reconnaissance mutuelle) est essentielle, car elle déterminera le contenu de l'instrument pour ce qui est de la précision, de la sécurité juridique et de l'efficacité de la protection. Le contenu d'un futur instrument doit être précis et fiable.

51.

En outre, il devrait être clair que tout accord spécifique conclu ultérieurement devra inclure des garanties détaillées et complètes en matière de protection des données en rapport avec l'objet de l'échange de données envisagé. Seul ce double niveau de principes concrets concernant la protection des données garantira l'étroite complémentarité nécessaire entre l'accord général et les accords spécifiques, comme on l'a déjà indiqué aux points 35 et 36 du présent avis.

52.

La question de savoir dans quelle mesure un accord avec les États-Unis pourrait servir de modèle pour d'autres pays tiers mérite une attention particulière. Le CEPD note que, outre les États-Unis, le rapport du «Groupe sur l'avenir de la politique intérieure» mentionné précédemment cite également la Russie comme partenaire stratégique de l'UE. Pour autant que les principes soient neutres et conformes aux garanties fondamentales de l'UE, ils pourraient constituer un précédent utile. Toutefois, les particularités liées, par exemple, au cadre juridique du pays destinataire ou à la finalité du transfert empêcheront une transposition pure et simple de l'accord. La situation des pays tiers sur le plan de la démocratie sera également déterminante: il conviendra de s'assurer que les principes fixés seront effectivement garantis et respectés dans le pays destinataire.

53.

Pour être implicitement ou explicitement adéquat, le niveau de protection doit, en tout état de cause, être conforme au cadre juridique international et européen, et en particulier aux garanties fixées d'un commun accord en matière de protection des données. Celles-ci sont inscrites dans les principes directeurs des Nations unies, la convention 108 du Conseil de l'Europe et son protocole additionnel, les lignes directrices de l'OCDE et la proposition de décision-cadre relative à la protection des données, ainsi que, pour les aspects relevant du premier pilier, dans la directive 95/46/CE (20). Tous ces instruments énoncent des principes similaires, largement reconnus comme constituant les éléments essentiels de la protection des données à caractère personnel.

54.

L'impact d'un accord potentiel tel que celui envisagé dans le rapport du HLCG rend d'autant plus importante la prise en considération des principes susmentionnés. Un instrument couvrant l'intégralité du secteur répressif d'un pays tiers serait en effet sans précédent. Les décisions existantes en matière d'adéquation dans le cadre du premier pilier et les accords conclus avec des pays tiers dans le cadre du troisième pilier de l'UE (Europol, Eurojust) ont toujours été liés à un transfert de données spécifique, alors que, dans le cas présent, des transferts d'une portée bien plus vaste pourraient devenir possibles, compte tenu de l'ampleur de la finalité poursuivie (lutte contre les infractions pénales, sécurité nationale et publique, contrôles aux frontières) et du nombre — inconnu jusqu'ici — de bases de données concernées.

55.

Les conditions à respecter dans le cadre du transfert de données à caractère personnel vers des pays tiers sont énoncées dans un document de travail du Groupe «Article 29» (21). Tout accord sur des principes minimaux en matière de respect de la vie privée devrait être soumis à un examen de conformité destiné à vérifier l'efficacité des garanties relatives à la protection des données.

56.

Outre ces trois exigences de base, il convient de prêter une attention particulière aux spécificités liées au traitement de données à caractère personnel dans un contexte répressif. Il s'agit en effet d'un domaine où les droits fondamentaux sont susceptibles de connaître certaines limitations. Des garanties doivent donc être adoptées pour compenser la limitation de ces droits des particuliers, notamment en qui concerne les aspects ci-dessous, eu égard à leur incidence sur les particuliers:

57.

Dans le présent chapitre, les douze principes énoncés dans le document du HLCG seront analysés sous l'angle suivant:

58.

Selon le premier principe énoncé dans l'annexe du rapport du HLCG, les informations à caractère personnel doivent être traitées à des fins répressives légitimes. Comme indiqué précédemment, il s'agit, pour l'Union européenne, de la prévention, de la détection, de la recherche et de la poursuite des infractions pénales. Les États-Unis, pour leur part, considèrent que les finalités répressives n'englobent pas seulement les infractions pénales mais comprennent également les fins liées aux contrôles aux frontières, à la sécurité publique et à la sécurité nationale. Les conséquences de ces divergences entre les finalités déclarées de l'UE et celles des États-Unis ne sont pas claires. Dans son rapport, le HLCG indique que, dans la pratique, ces finalités peuvent coïncider dans une large mesure, mais il demeure essentiel de savoir exactement dans quelle mesure elles ne coïncident pas. Dans le domaine de la répression, étant donné l'incidence des mesures prises sur les particuliers, le principe de la limitation des finalités doit être strictement observé et les objectifs déclarés doivent être clairs et bien définis. Compte tenu de la réciprocité envisagée dans le rapport, le rapprochement de ces finalités semble également fondamental. Bref, une clarification de l'interprétation de ce principe s'impose.

59.

Le CEPD accueille favorablement la disposition prévoyant que les informations à caractère personnel doivent être exactes, pertinentes, disponibles en temps utile et complètes, ainsi que l'exige la licéité du traitement. Ce principe est une condition fondamentale de tout traitement de données efficace.

60.

Ce principe établit un lien clair entre les informations collectées et la nécessité de disposer de ces informations pour atteindre une fin répressive prévue par la loi. Cette obligation de disposer d'une base légale est un élément positif aux fins de l'établissement de la légitimité du traitement. Le CEPD note néanmoins que, bien que cela renforce la sécurité juridique entourant le traitement, la base légale du traitement est un acte législatif d'un pays tiers. Or, une loi d'un pays tiers ne peut en tant que telle constituer une base légitime pour le transfert de données à caractère personnel (22). Dans son rapport, le HLCG semble considérer que la légitimité de la loi d'un pays tiers, en l'occurrence les États-Unis, est admise a priori. Il ne faut pas perdre de vue que, si ce raisonnement peut trouver une justification en l'espèce dans le caractère démocratique des États-Unis, cela ne signifie pas qu'il pourrait être applicable et transposable aux relations avec tout autre pays tiers.

61.

Selon l'annexe du rapport du HLCG, tout transfert de données à caractère personnel doit être pertinent, nécessaire et approprié. Le CEPD souligne que, pour être proportionné, le traitement ne doit pas être inutilement intrusif et que les modalités du traitement doivent être équilibrées et tenir compte des droits et intérêts des personnes concernées.

62.

C'est pourquoi l'accès aux informations ne devrait être autorisé qu'au cas par cas, en fonction des besoins pratiques d'une enquête spécifique. L'accès permanent des autorités répressives d'un pays tiers aux bases de données situées dans l'UE serait considéré comme disproportionné et insuffisamment justifié. Le CEPD rappelle que, même dans le cadre des accords existants sur l'échange de données, tels que l'accord PNR, cet échange est lié à des circonstances précises et est limité dans le temps (23).

63.

Selon la même logique, la durée de conservation des données devrait être réglementée: les données devraient être conservées aussi longtemps que nécessaire, en fonction de la finalité spécifique poursuivie. Si elles ne sont plus pertinentes au regard de la finalité déclarée, elles devraient être effacées. Le CEPD est fermement opposé à la constitution de stocks de données dans lesquels seraient conservées des informations concernant des personnes non suspectes en vue de pouvoir répondre à un éventuel besoin ultérieur.

64.

Les principes prévoient des mesures et des procédures visant à protéger les données contre l'utilisation abusive, l'altération et d'autres risques, ainsi qu'une disposition limitant l'accès aux personnes autorisées, ce que le CEPD juge satisfaisant.

65.

Ce principe pourrait en outre être complété par une disposition prévoyant la tenue de registres des personnes qui consultent les données. L'efficacité des garanties destinées à limiter l'accès aux données et à prévenir leur utilisation abusive s'en trouverait ainsi renforcée.

66.

Par ailleurs, il conviendrait de prévoir une information mutuelle en cas d'atteinte à la sécurité: les destinataires situés aux États-Unis et ceux situés dans l'UE seraient tenus d'informer leurs homologues de toute divulgation illicite de données qui leur ont été transmises. Cela contribuerait à une responsabilité accrue aux fins de la sécurisation du traitement des données.

67.

Le principe de l'interdiction du traitement des données sensibles est, selon le CEPD, considérablement affaibli par l'exception qui autorise tout traitement de données sensibles pour lequel la législation interne prévoit des «garanties appropriées». En raison justement du caractère sensible des données, toute dérogation au principe d'interdiction doit être justifiée de manière adéquate et précise, au moyen d'une liste décrivant les finalités poursuivies et les circonstances dans lesquelles un type particulier de données sensibles peut être traité, ainsi que la qualité des responsables autorisés à traiter ces données. Parmi les garanties à adopter, le CEPD considère que les données sensibles ne devraient pas constituer en tant que telles un élément susceptible de déclencher une enquête. Elles pourraient être accessibles dans des circonstances spécifiques, mais uniquement en tant qu'informations complémentaires concernant une personne faisant déjà l'objet d'une enquête. Ces garanties et conditions doivent être bien délimitées dans l'énoncé du principe.

68.

Comme expliqué aux points 55 et 56 du présent avis, il convient de veiller à ce que l'obligation de rendre des comptes soit imposée de manière effective aux organismes publics qui traitent des données à caractère personnel, l'accord devant donner des assurances à ce sujet. Le manque de transparence qui entoure généralement le traitement de données à caractère personnel dans un contexte répressif rend le respect de cette obligation d'autant plus important. À cet égard, le fait d'indiquer — comme c'est le cas actuellement dans l'annexe 6 que les organismes publics sont tenus de rendre des comptes, sans donner davantage d'explication sur les modalités et les conséquences de cette obligation, ne constitue pas une garantie satisfaisante. Le CEPD recommande d'ajouter une explication à ce propos dans le dispositif de l'instrument.

69.

Le CEPD soutient sans réserve l'inclusion d'une disposition prévoyant une supervision indépendante et efficace par une ou plusieurs autorités de contrôle. Il estime qu'il conviendrait de préciser ce que l'on entend par «indépendance», en indiquant notamment par rapport à qui ces autorités seraient indépendantes et sous la responsabilité de qui elles seraient placées. Il convient, à cet égard, de définir des critères qui tiennent compte de l'indépendance institutionnelle et fonctionnelle des autorités de contrôle par rapport aux organes exécutifs et législatifs. Le CEPD rappelle qu'il s'agit d'un élément essentiel pour garantir le respect effectif des principes fixés d'un commun accord. Les pouvoirs d'intervention et de répression de ces autorités sont également fondamentaux au regard de l'obligation de rendre des comptes imposée aux organismes publics qui traitent des données à caractère personnel, comme expliqué ci-dessus. Les personnes concernées devraient recevoir des informations claires sur l'existence et les compétences de ces autorités afin de pouvoir exercer leurs droits, en particulier si plusieurs autorités sont compétentes en fonction du contexte du traitement.

70.

Par ailleurs, le CEPD recommande de prévoir également dans un futur accord des mécanismes de coopération entre les autorités de contrôle.

71.

Des garanties spécifiques sont nécessaires en ce qui concerne l'accès et la rectification dans un contexte répressif. Dans cette optique, le CEPD est favorable au principe selon lequel les particuliers doivent/devraient avoir accès aux informations à caractère personnel les concernant et pouvoir en obtenir la rectification et/ou l'effacement. Toutefois, certaines incertitudes subsistent quant à la définition des «particuliers» (toutes les personnes concernées devraient être protégées, et pas seulement les citoyens du pays concerné) et aux conditions dans lesquelles ceux-ci peuvent s'opposer au traitement des informations les concernant. Des précisions sont nécessaires à propos des «cas appropriés» dans lesquels une objection peut ou non être formulée. Les personnes concernées devraient savoir clairement dans quelles circonstances — selon, par exemple, le type d'autorité, le type d'enquête ou d'autres critères — elles pourront faire valoir leurs droits.

72.

Par ailleurs, s'il n'existe pas de possibilité directe de s'opposer à un traitement pour des raisons justifiées, une vérification indirecte devrait être possible, par l'intermédiaire de l'autorité indépendante responsable de la supervision du traitement.

73.

Le CEPD souligne une nouvelle fois qu'il est important de garantir une transparence effective, afin de permettre aux particuliers d'exercer leurs droits et de contribuer au respect de l'obligation générale de rendre des comptes imposée aux autorités qui traitent des données à caractère personnel. Il approuve les principes tels qu'ils sont énoncés et insiste en particulier sur la nécessité d'une information générale et individuelle des personnes concernées, conformément au principe figurant au point 9 de l'annexe.

74.

Néanmoins, au chapitre 2, point B, intitulé «Agreed upon principles» («Principes fixés d'un commun accord»), il est indiqué que, aux États-Unis, la transparence «peut inclure, individuellement ou conjointement, la publication au Registre fédéral, l'information individuelle et la divulgation dans le cadre d'une procédure judiciaire» (traduction du Conseil). Il convient de préciser qu'une publication au journal officiel ne suffit pas à garantir l'information appropriée de la personne concernée. Outre la nécessité d'une information individuelle, le CEPD rappelle que l'information doit être fournie sous une forme et dans des termes aisément compréhensibles par la personne concernée.

75.

Pour pouvoir exercer effectivement leurs droits, les particuliers doivent avoir la possibilité d'introduire une réclamation auprès d'une autorité indépendante compétente en matière de protection des données et de former un recours devant un tribunal indépendant et impartial. Ces voies de recours devraient être toutes les deux offertes aux intéressés.

76.

L'accès à une autorité indépendante compétente en matière de protection des données est nécessaire car celle-ci offre une assistance souple et moins coûteuse, dans un contexte — la répression — qui peut revêtir un caractère assez opaque pour les particuliers. Les autorités responsables de la protection des données peuvent également apporter leur concours en exerçant le droit d'accès au nom des personnes concernées, lorsque des exceptions empêchent ces dernières d'obtenir un accès direct aux données à caractère personnel les concernant.

77.

L'accès au système judiciaire est un moyen supplémentaire et indispensable de garantir aux personnes concernées la possibilité de former un recours auprès d'une autorité appartenant à une branche du système démocratique distincte des institutions publiques qui traitent effectivement leurs données. Cette voie de recours effective devant une juridiction a été considérée par la Cour de justice des Communautés européennes (24) comme «essentielle pour assurer au particulier la protection effective de son droit. (...) [Elle] constitue un principe général de droit communautaire qui découle des traditions constitutionnelles communes aux États membres et qui a trouvé sa consécration dans les articles 6 et 13 de la Convention européenne des droits de l'homme». L'existence d'une voie de recours juridictionnelle est également prévue explicitement à l'article 47 de la Charte des droits fondamentaux de l'Union européenne, ainsi qu'à l'article 22 de la directive 95/46/CE, sans préjudice d'éventuels recours administratifs.

78.

Le CEPD accueille favorablement la disposition prévoyant des garanties appropriées en cas de traitement automatisé d'informations à caractère personnel. Il fait observer qu'une interprétation commune de l'expression «effets significatifs préjudiciables aux intérêts pertinents du particulier» (traduction du Conseil) apporterait des éclaircissements quant aux conditions d'application de ce principe.

79.

Les conditions fixées pour le transfert ultérieur sont, pour certaines d'entre elles, peu claires. En particulier, lorsque le transfert ultérieur doit respecter des accords internationaux et des accords entre le pays d'origine et le pays destinataire, il convient de préciser s'il s'agit des accords entre les deux pays ayant organisé le premier transfert ou des deux pays concernés par le transfert ultérieur. Selon le CEPD, un accord entre les deux pays ayant organisé le premier transfert est en tout état de cause nécessaire.

80.

Le CEPD note également que la définition des «intérêts publics légitimes» autorisant un transfert ultérieur est très large. Le champ couvert par la sécurité publique est flou, et l'extension des transferts aux cas de manquements aux règles de déontologie de professions réglementées semble injustifié et excessif dans un contexte répressif.

81.

Le CEPD salue le travail conjoint réalisé par les autorités de l'UE et celles des États-Unis dans le domaine répressif, où la protection des données est cruciale. Il tient toutefois à souligner que la question est complexe, notamment en ce qui concerne sa portée et sa nature précises, et qu'elle requiert dès lors une analyse minutieuse et approfondie. L'impact d'un instrument transatlantique sur la protection des données devrait être soigneusement examiné au regard du cadre juridique existant et de ses conséquences pour les citoyens.

82.

Le CEPD préconise davantage de clarté et de dispositions concrètes, en particulier pour ce qui concerne les aspects suivants:

83.

Le CEPD insiste sur le fait qu'il convient d'éviter toute précipitation dans l'élaboration des principes, sous peine d'aboutir à des solutions insatisfaisantes dont les effets seraient contraires à ceux recherchés en termes de protection des données. La meilleure voie à suivre au stade actuel serait donc d'établir une feuille de route en vue d'un éventuel accord ultérieur.

84.

Le CEPD préconise également une plus grande transparence dans le processus d'élaboration des principes relatifs à la protection des données. La participation de tous les acteurs concernés, y compris le Parlement européen, est une condition sine qua non pour que l'instrument fasse l'objet d'un débat démocratique profitable et obtienne le soutien et la reconnaissance nécessaires.

—

Accord entre les États-Unis d'Amérique et l'Office européen de police (Europol) du 6 décembre 2001, et accord complémentaire entre les États-Unis d'Amérique et Europol relatif à l'échange de données à caractère personnel et d’informations y afférentes, publiés sur le site web d'Europol;

—

accord entre les États-Unis d'Amérique et Eurojust du 6 novembre 2006 sur la coopération judiciaire, publié sur le site web d'Eurojust;

—

accord entre l'Union européenne et les États-Unis d'Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (DHS) (accord PNR 2007), signé à Bruxelles le 23 juillet 2007 et à Washington le 26 juillet 2007, JO L 204 du 4.8.2007, p. 18;

—

échange de lettres entre les autorités des États-Unis et celles de l'UE sur le programme de surveillance du financement du terrorisme («Terrorist Finance Tracking Program»), 28 juin 2007.

—

Principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, adoptés par l'Assemblée générale le 14 décembre 1990, consultables à l'adresse suivante: http://www.unhchr.ch/french/html/menu3/b/71_fr.htm

—

Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, 28 janvier 1981, consultable à l'adresse suivante: http://www.conventions.coe.int/Treaty/FR/Treaties/Html/108.htm

—

Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, adoptées le 23 septembre 1980, consultables à l'adresse suivante: http://www.oecd.org/document/53/0,3343,fr_2649_34255_15591797_1_1_1_1,00.html

—

Proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, consultable à l'adresse suivante: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=fr&DosId=193371

—

Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.

6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/13

1.

La communication de la Commission au Conseil, au Parlement européen et au Comité économique et social européen intitulée «Vers une stratégie européenne en matière d'e-Justice» (ci-après dénommée la «communication») a été adoptée le 30 mai 2008. Le CEPD rend le présent avis conformément à l'article 41 du règlement (CE) no 45/2001.

2.

Cette communication a pour objet de proposer une stratégie en matière de justice en ligne (e-Justice) visant à accroître la confiance des citoyens dans l'espace de justice européen. Le premier objectif de la justice en ligne devrait être de renforcer l'efficacité de la justice partout en Europe, au bénéfice des citoyens. L'action de l'UE devrait permettre à ces derniers d'accéder à l'information sans être gênés par les barrières linguistiques, culturelles et juridiques liées à la multiplicité des systèmes. Une proposition de plan d'action et de calendrier pour les différents projets est annexée à la communication.

3.

Dans le présent avis, le CEPD formule des observations sur la communication dans la mesure où elle concerne le traitement de données à caractère personnel, la protection de la vie privée dans le secteur des communications électroniques et la libre circulation des données.

4.

En juin 2007, le Conseil JAI (3) a défini plusieurs priorités pour le développement de la justice en ligne:

5.

Depuis lors, les travaux sur la justice en ligne ont avancé d'une manière régulière. Selon la Commission, les travaux réalisés en la matière doivent garantir que la priorité sera accordée à des projets opérationnels et des structures décentralisées, en assurant une coordination au niveau européen, en s'appuyant sur les instruments juridiques existants et en utilisant les outils informatiques afin d'améliorer leur efficacité. Le Parlement européen a également approuvé le projet de justice en ligne (4).

6.

La Commission a toujours encouragé l'utilisation des technologies modernes de l'information tant en matière civile qu'en matière pénale, ce qui a permis de créer des instruments tels que l'injonction de payer européenne. Depuis 2003, la Commission gère le «portail» du réseau judiciaire européen en matière civile et commerciale, qui est accessible aux citoyens dans vingt-deux langues. Elle a également conçu et créé l'atlas judiciaire européen. Ces instruments font figure de précurseurs d'un futur cadre européen en matière de justice en ligne. Dans le domaine pénal, la Commission a travaillé à la mise au point d'un instrument dont l'objectif est de permettre l'échange d'informations extraites des casiers judiciaires des États membres (5). La Commission, mais aussi Eurojust, ont mis au point des systèmes de communication sécurisés avec les autorités nationales.

7.

La justice en ligne doit permettre, par diverses voies, de rendre l'espace judiciaire européen plus concret aux yeux des citoyens dans les années à venir. Afin d'élaborer une stratégie globale pour cette importante question, la Commission a adopté la communication en question sur l'e-Justice, qui fixe des critères objectifs pour la définition de priorités, notamment pour les projets futurs au niveau européen, afin d'obtenir des résultats concrets dans un délai raisonnable.

8.

Le document de travail des services de la Commission accompagnant la communication, assorti d'un résumé de l'analyse d'impact, contient également des informations à caractère général (6). Le rapport d'analyse d'impact a été élaboré en tenant compte des réactions des États membres, des autorités judiciaires, des professionnels du droit, des citoyens et des entreprises. Le CEPD n'a pas été consulté. Dans ce rapport, c'est l'option qui associe la dimension européenne à la compétence nationale qui a été privilégiée pour traiter les problèmes. C'est aussi cette option qui a été retenue dans la communication. La stratégie sera axée sur l'utilisation de la vidéoconférence, la création d'un portail «e-Justice», l'amélioration des capacités de traduction par la mise au point d'outils de traduction automatique disponibles en ligne, l'amélioration de la communication entre les autorités judiciaires, une interconnexion accrue entre les registres nationaux et des outils en ligne pour les procédures européennes (par exemple, la procédure européenne d'injonction de payer).

9.

Le CEPD se félicite de l'importance accordée aux actions susmentionnées. D'une manière générale, il est partisan d'une stratégie globale pour la justice en ligne et souscrit à la triple nécessité d'améliorer l'accès à la justice, la coopération entre les autorités judiciaires européennes et l'efficacité de la justice proprement dite. Cette stratégie fait intervenir différentes institutions et personnes:

10.

La communication est étroitement liée à la proposition de décision du Conseil relative à la création du système européen d'information sur les casiers judiciaires (ECRIS). Le 16 septembre 2008, le CEPD a rendu un avis sur cette proposition (7). Il appuie cette proposition, sous réserve que soient prises en compte un certain nombre d'observations. Il a notamment indiqué que des garanties supplémentaires en matière de protection des données devraient compenser l'absence actuelle de cadre juridique global sur la protection des données dans le domaine de la coopération entre autorités policières et judiciaires. Il a par conséquent souligné la nécessité que le contrôle du système de protection des données fasse l'objet d'une coordination effective, ce qui suppose que les autorités des États membres et la Commission doivent fournir l'infrastructure de communication commune.

11.

Certaines recommandations formulées dans cet avis méritent d'être rappelées:

12.

Ces recommandations illustrent bien le cadre dans lequel sera analysée la communication.

13.

La justice en ligne a un champ d'application très vaste, et englobe en général l'utilisation des technologies de l'information dans l'administration de la justice au sein de l'Union européenne. Cela vaut pour divers domaines, comme les projets dont l'objectif est d'informer les justiciables d'une manière plus efficace. Parmi ces projets figurent la mise en ligne d'informations sur les systèmes judiciaires, la législation et la jurisprudence, les systèmes de communications électroniques entre les parties et les tribunaux et la mise en place de procédures totalement électroniques. Cela concerne également des projets européens tels que le recours à des moyens électroniques pour l'enregistrement des audiences et des projets concernant l'échange d'informations ou l'interconnexion.

14.

Même si le champ d'application de la justice en ligne est très vaste, le CEPD a constaté que le portail e-Justice fournira des informations sur les procédures pénales et sur les systèmes judiciaires civils et commerciaux, mais pas sur les systèmes judiciaires administratifs. De même, il existera un lien vers un atlas pénal et un atlas civil, mais pas vers un atlas administratif, alors qu'il pourrait être intéressant que les citoyens et les entreprises aient accès aux systèmes judiciaires administratifs, à savoir au droit administratif et aux procédures de plainte. Il faudrait également prévoir un lien vers l'Association des Conseils d'État. Ces nouveaux services pourraient aider les citoyens à y voir plus clair dans le dédale que constituent souvent le droit administratif et tous les tribunaux compétents en la matière, afin d'être mieux informés sur les systèmes judiciaires administratifs.

15.

En conséquence, le CEPD recommande d'inclure les procédures administratives dans la justice en ligne. Dans cette nouvelle perspective, il conviendrait de lancer des projets de justice en ligne afin de mieux faire connaître les règles en vigueur dans le domaine de la protection des données, ainsi que les autorités nationales compétentes en la matière, notamment en ce qui concerne le type de données traitées dans le cadre de la justice en ligne. Cela s'inscrirait dans le droit fil de l'initiative dite de Londres, que les autorités chargées de la protection des données ont lancée en novembre 2006 et qui vise à «communiquer sur la protection des données et la rendre efficace».

16.

Compte tenu de l'augmentation des échanges de données à caractère personnel entre les autorités judiciaires prévue dans la communication, le cadre juridique applicable en matière de protection des données acquiert encore plus d'importance. À cet égard, le CEPD note que, le 27 novembre 2008, soit trois ans après la proposition initiale de la Commission, le Conseil de l'Union européenne a adopté la décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (8). Ce nouvel acte législatif fournira un cadre juridique général en matière de protection des données pour les questions relevant du troisième pilier, qui viendra s'ajouter aux dispositions de la directive 95/46/CE en matière de protection des données applicables au premier pilier.

17.

Pour le CEPD, cet instrument juridique constitue une première avancée notable pour la protection des données dans le domaine de la coopération policière et judiciaire. Toutefois, le niveau de protection des données atteint dans le texte définitif n'est pas pleinement satisfaisant. En particulier, la décision-cadre ne concerne que les données policières et judiciaires échangées entre les États membres, les autorités et les systèmes de l'UE, et ne parte pas sur les données traitées au niveau national. Par ailleurs, elle ne prévoit pas l'obligation d'établir une distinction entre les différentes catégories de personnes concernées, telles que les suspects, les criminels, les témoins et les victimes, pour s'assurer que les données les concernant sont traitées avec des garanties plus appropriées. Elle ne concorde pas entièrement avec la directive 95/46/CE, notamment pour ce qui est de limiter les finalités pour lesquelles les données à caractère personnel peuvent faire l'objet d'un traitement ultérieur. Elle ne prévoit pas non plus d'instituer un groupe indépendant d'autorités compétentes en matière de protection des données au niveau des États membres et de l'Union européenne, qui pourrait assurer une meilleure coordination entre les autorités chargées de la protection des données et contribuer d'une manière significative à l'application uniforme de la décision-cadre.

18.

Cela signifie que, dans un contexte où de nombreux efforts sont consentis pour élaborer des systèmes communs d'échanges transfrontaliers de données à caractère personnel, il subsiste encore des divergences en ce qui concerne les règles relatives au traitement de ces données et à l'exercice par les citoyens de leurs droits dans les différents pays de l'UE.

19.

Le CEPD rappelle une nouvelle fois que garantir un niveau élevé de protection des données traitées dans le cadre de la coopération policière et judiciaire, ainsi que la conformité avec la directive 95/46/CE, constitue un complément nécessaire à d'autres mesures existantes ou envisagées pour faciliter l'échange transfrontalier de données à caractère personnel dans le domaine répressif. Cela tient non seulement au droit des citoyens au respect de la protection des données à caractère personnel les concernant, qui est un droit fondamental, mais également à la nécessité que des autorités répressives puissent garantir la qualité des données échangées — ainsi que le confirme l'annexe de la communication pour ce qui concerne l'interconnexion des casiers judiciaires — la confiance entre les autorités de différents pays, et, enfin, la validité juridique des preuves recueillies dans un contexte transfrontalier.

20.

Le CEPD encourage dès lors les institutions de l'UE à prendre ces éléments tout particulièrement en compte non seulement pour la mise en œuvre des mesures prévues dans la communication, mais également afin d'entamer dès que possible une réflexion sur les nouvelles améliorations qu'il y aurait lieu d'apporter au cadre juridique pour la protection des données dans le domaine répressif.

21.

Le CEPD est conscient que les échanges de données à caractère personnel sont des éléments essentiels dans la création d'un espace de liberté, de sécurité et de justice. C'est pour cette raison qu'il soutient la proposition d'une stratégie pour la justice en ligne, tout en soulignant l'importance que revêt la protection des données dans ce contexte. En effet, le respect de la protection des données n'est pas seulement une obligation légale; c'est aussi un facteur déterminant pour le succès des systèmes envisagés, par exemple pour garantir la qualité des échanges de données. Cela vaut pour les institutions et les organes, tant lorsqu'ils traitent des données à caractère personnel, que lorsqu'ils élaborent de nouvelles politiques. Les règles et principes devraient être appliqués et mis en pratique, et il faudrait tout particulièrement en tenir compte lors de la conception et de la mise en place des systèmes d'information. La protection de la vie privée et la protection des données sont en fait des «facteurs déterminants de succès» pour une société de l'information prospère et équilibrée. Il est dès lors important d'investir à ce niveau et ce, dès que possible.

22.

Dans ce cadre, le CEPD souligne que la communication ne prévoit pas de base de données européenne centrale. Il se réjouit que les architectures décentralisées soient privilégiées. Il rappelle qu'il a rendu un avis sur le Système européen d'information sur les casiers judiciaires (ECRIS) (9), ainsi qu'un avis sur l'initiative de Prüm (10). Dans le premier, il indiquait qu'une architecture décentralisée permettait d'éviter une reproduction supplémentaire de données à caractère personnel dans une base de données centrale. Dans le second, il recommandait de prendre dûment en considération la taille du système dans les discussions sur l'interconnexion entre bases de données. Il conviendrait, en particulier, de définir des formats spécifiques de communication des données, tels que les demandes en ligne de casiers judiciaires, qui tiendraient compte également des différences de langues, et l'exactitude des échanges de données devrait faire l'objet d'une surveillance permanente. Ces éléments devraient être pris en compte également dans le cadre des initiatives découlant de la stratégie pour la justice en ligne.

23.

La Commission européenne a l'intention de contribuer au renforcement et au développement des outils de la justice en ligne au niveau européen, en étroite coopération avec les États membres et d'autres partenaires. Tout en soutenant les efforts des États membres, elle souhaite, de son côté, mettre au point un certain nombre d'outils informatiques pour augmenter l'interopérabilité des systèmes, faciliter l'accès du public à la justice et la communication entre les autorités judiciaires, et réaliser des économies d'échelle au niveau européen. En ce qui concerne l'interopérabilité des logiciels utilisés par les États membres, il n'est pas nécessaire que tous utilisent le même logiciel — même si cette solution serait la plus pratique —, mais celui-ci doit être totalement interopérable.

24.

Le CEPD recommande que le principe de limitation de la finalité soit dûment pris en compte dans l'interconnexion et l'interopérabilité des systèmes, qui devraient se fonder sur les normes en matière de protection des données (prise en compte des impératifs de protection de la vie privée dès la conception — «privacy by design»). Toute forme d'interaction entre systèmes distincts devrait être parfaitement documentée. L'interopérabilité ne devrait jamais permettre qu'une autorité qui n'est pas habilitée à utiliser certaines données ou à y accéder puisse le faire par l'intermédiaire d'un autre système d'information. Le CEPD tient à souligner une nouvelle fois que l'interopérabilité ne devrait pas en soi justifier le contournement du principe de limitation de la finalité (11).

25.

Il est par ailleurs primordial de veiller à ce que l'augmentation des échanges transfrontaliers de données à caractère personnel aillent de pair avec un renforcement de la coopération et du contrôle de la part des autorités chargées de la protection des données. Le CEPD a déjà souligné, dans son avis du 29 mai 2006 sur la proposition de décision-cadre relative aux échanges d'informations extraites du casier judiciaire entre les États membres (12), que la proposition ne devrait pas porter uniquement sur la coopération entre les autorités centrales, mais aussi sur la coopération entre les différentes autorités chargées de la protection des données. Cette nécessité est devenue encore plus impérieuse depuis que les négociations sur la décision-cadre, adoptée récemment, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (13) ont entraîné la suppression de la disposition établissant un groupe réunissant les autorités chargées de la protection des données au sein de l'UE et coordonnant leurs activités à l'égard du traitement des données dans le cadre de la coopération policière et judiciaire en matière pénale. Par conséquent, en vue d'assurer un contrôle efficace ainsi qu'une circulation transfrontière satisfaisante des données extraites de casiers judiciaires, il conviendrait de prévoir des mécanismes de coordination effective entre les autorités compétentes en matière de protection des données (14). Ces mécanismes devraient également tenir compte du pouvoir de contrôle du CEPD à l'égard de l'infrastructure s-TESTA (15). Ils pourraient être renforcés par les outils de la justice en ligne et développés en étroite coopération avec les autorités chargées de la protection des données.

26.

Le point 4.2.1 de la communication indique qu'il sera important que les échanges d'informations extraites de casiers judiciaires s'étendent au-delà de la coopération judiciaire et intègrent d'autres objectifs, tels que l'accès à certains emplois. Le CEPD souligne que tout traitement de données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées devrait respecter les conditions spécifiques prévues par la législation applicable en matière de protection des données. En particulier, le traitement de données à caractère personnel pour d'autres finalités ne devrait être autorisé que s'il est nécessaire pour sauvegarder les intérêts visés dans la législation communautaire en matière de protection des données (16) et à condition que cela soit défini par des mesures législatives.

27.

Pour ce qui est de l'interconnexion des casiers judiciaires, la communication indique que, dans le cadre des travaux préparatoires à l'entrée en vigueur de la décision-cadre relative aux échanges d'informations extraites du casier judiciaire, la Commission lancera deux études de faisabilité afin de structurer le projet à mesure qu'il prend forme et d'étendre les échanges d'informations aux ressortissants de pays tiers ayant fait l'objet de condamnations pénales. En 2009, la Commission mettra à la disposition des États membres des logiciels conçus pour permettre un échange rapide de tous les casiers judiciaires. Ce système de référence, associé à l'utilisation de l'infrastructure s-TESTA pour l'échange d'informations, permettra de réaliser des économies d'échelle, puisque les États membres ne devront pas mener leurs propres travaux de développement. Ce système facilitera également la gestion du projet.

28.

Dans cette optique, le CEPD se félicite de l'utilisation de l'infrastructure s-TESTA, qui s'est avérée être un système fiable pour les échanges de données, et il recommande de définir en détail les données statistiques concernant les systèmes envisagés pour les échanges de données, en tenant dûment compte de la nécessité d'assurer un contrôle de la protection des données. Les données statistiques pourraient, par exemple, explicitement inclure des éléments tels que le nombre de demandes d'accès ou de rectification de données à caractère personnel, la durée et l'achèvement du processus de mise à jour, la qualité des personnes ayant accès à ces données, ainsi que les cas de manquement aux règles de sécurité. Par ailleurs, les données statistiques et les rapports basés sur ces données devraient être intégralement mis à la disposition des autorités compétentes en matière de protection des données.

29.

La traduction automatique est un instrument utile dont l'utilisation est de nature à favoriser la compréhension mutuelle entre les acteurs compétents des États membres. Toutefois, cette technique ne devrait pas entraîner une diminution de la qualité des informations échangées, surtout lorsque ces informations sont utilisées pour prendre des décisions ayant une incidence juridique pour les personnes concernées. Pour le CEPD, il est important de bien définir et de circonscrire le recours à la traduction automatique. Le recours à la traduction automatique pour la transmission d'informations qui n'ont pas été fidèlement pré-traduites, telles que des observations ou des précisions supplémentaires ajoutées dans des cas particuliers, est susceptible de nuire à la qualité des informations transmises — et, par là même, à celle des décisions prises sur leur base — et devrait en principe être exclu (17). Le CEPD suggère de tenir compte de cette recommandation dans les mesures qui découleront de la communication.

30.

Dans la communication, il est question de créer une base de données de traducteurs et d'interprètes spécialisés dans le domaine juridique afin d'améliorer la qualité des traductions et des interprétations dans ce domaine. Le CEPD souscrit à cet objectif mais rappelle que cette base de données sera soumise à l'application des dispositions législatives pertinentes en matière de protection des données. En particulier, si la base de données contient des données concernant l'évaluation du travail des traducteurs, elle pourrait faire l'objet d'un contrôle préalable de la part des autorités compétentes en matière de protection des données.

31.

Au point 5 de la communication, il est indiqué qu'il faut répartir clairement les responsabilités entre la Commission, les États membres et les autres acteurs de la coopération judiciaire. La Commission assumera un rôle général de coordination en favorisant les échanges de bonnes pratiques et elle travaillera à la conception et à la mise en place du portail e Justice, dont elle coordonnera les informations. Elle poursuivra en outre ses travaux sur l'interconnexion des casiers judiciaires et continuera à assumer la responsabilité directe du réseau judiciaire civil et de soutenir le réseau judiciaire pénal. Les États membres devront mettre à jour les informations sur leurs systèmes judiciaires qui figurent sur le site e Justice. Le réseau judiciaire civil et le réseau judiciaire pénal, ainsi qu'Eurojust, sont d'autres acteurs qui mettront au point les outils nécessaires à une coopération judiciaire plus efficace, en particulier les outils de traduction automatique et le système d'échange sécurisé, en coopération étroite avec la Commission. Une proposition de plan d'action et de calendrier pour les différents projets est annexée à la communication.

32.

Dans ce cadre, le CEPD souligne, d'une part, que le système ECRIS ne comporte aucune base de données européenne centrale et qu'il ne prévoit aucun accès direct à des bases de données comme celles qui contiennent des casiers judiciaires d'autres États membres et, d'autre part, qu'au niveau national, la responsabilité de l'exactitude des informations incombe aux autorités centrales des États membres. Dans le cadre de ce mécanisme, les États membres sont responsables du fonctionnement des bases de données nationales et de l'efficacité des échanges. Il n'est pas dit clairement s'ils sont ou non responsables du logiciel d'interconnexion. La Commission mettra à la disposition des États membres un logiciel conçu pour permettre un échange rapide de tous les casiers judiciaires. Ce système de référence sera utilisé avec l'infrastructure s-TESTA pour l'échange d'informations.

33.

Même si la communication ne l'indique pas, le CEPD croit comprendre que, dans le cadre d'initiatives analogues de justice en ligne, des systèmes similaires pourraient être mis en place et que la Commission sera responsable de l'infrastructure commune. Il suggère que, pour des raisons de sécurité juridique, cette responsabilité soit clarifiée dans les mesures qui découleront de la communication.

34.

L'annexe contient une liste de projets qui seront développés au cours des cinq prochaines années. Le premier d'entre eux, intitulé «Développement des pages e-Justice», concerne le portail e-Justice. Il nécessite une étude de faisabilité et le développement du portail, ainsi que la mise en place de méthodes de gestion et la mise en ligne d'informations dans toutes les langues de l'UE. Les deuxième et troisième projets concernent l'interconnexion des casiers judiciaires. Le projet no 2 porte sur l'interconnexion des casiers judiciaires nationaux; le projet no 3 envisage la création d'un index européen des citoyens d'États tiers condamnés, à la suite d'une étude de faisabilité et du dépôt d'une proposition législative. Le CEPD note que ce projet ne figure plus dans le programme de travail de la Commission et il se demande si cela dénote un changement dans les projets prévus par la Commission ou seulement un report de ce projet en particulier.

35.

La communication cite également trois projets dans le domaine des échanges électroniques et trois projets dans le domaine de l'aide à la traduction. Un lexique juridique multilingue comparé sera élaboré progressivement dans le cadre d'un projet pilote. D'autres projets intéressants concernent la création de formulaires dynamiques accompagnant les textes législatifs européens, ainsi que la promotion de l'utilisation de la vidéoconférence par les autorités judiciaires. Enfin, dans le cadre de forums sur la justice en ligne, des réunions annuelles seront organisées autour de ces thématiques et la formation des professionnels du droit dans le domaine de la coopération judiciaire sera développée. Le CEPD suggère que ces réunions et formations fassent une place suffisante aux dispositions législatives et aux pratiques en matière de protection des données.

36.

Un large éventail d'instruments européens est dès lors prévu dans l'annexe en vue de faciliter l'échange d'informations entre acteurs dans les différents États membres. Parmi ces instruments, il y a lieu de citer le portail e-Justice qui jouera un rôle important et dont la responsabilité incombera principalement à la Commission.

37.

Beaucoup de ces instruments ont un point en commun: les informations et les données à caractère personnel seront échangées et gérées, tant au niveau des États membres que de l'UE, par différents acteurs tenus de respecter les obligations en matière de protection des données, et devant rendre compte à des autorités de contrôle établies sur la base de la directive 95/46/CE ou du règlement (CE) no 45/2001. À cet égard, ainsi que le CEPD l'a déjà indiqué dans son avis concernant le Système d'information du marché intérieur (IMI) (18), il est essentiel de veiller à ce que les responsabilités pour ce qui est du respect des règles de protection des données soient exercées d'une manière efficace et continue.

38.

Pour ce faire, il faut que, d'une part, les responsabilités en matière de traitement des données à caractère personnel dans le cadre de ces systèmes soient clairement définies et attribuées et, d'autre part, que des mécanismes de coordination appropriés — notamment en ce qui concerne le contrôle — soient prévus le cas échéant.

39.

L'utilisation des nouvelles technologies est l'une des pierres angulaires des initiatives en matière de justice en ligne. Ainsi, l'interconnexion des registres nationaux, le développement de la signature électronique, les réseaux sécurisés, les plateformes d'échanges virtuels et l'utilisation accrue de la vidéoconférence seront autant d'éléments essentiels des initiatives de justice en ligne qui seront prises au cours des prochaines années.

40.

Dans ce contexte, il est essentiel que les questions relatives à la protection des données soient prises en compte le plus tôt possible et qu'elles soient intégrées dans l'architecture des instruments prévus. En particulier, l'architecture du système et la mise en œuvre de mesures de sécurité adéquates sont aussi importantes l'une que l'autre. Grâce à cette approche, qui consiste à prendre en compte le respect de la vie privée dès la conception («privacy by design»), les initiatives pertinentes en matière de justice en ligne devraient permettre une gestion efficace des données à caractère personnel, tout en veillant au respect des principes de protection des données et à la sécurité des échanges de données entre différentes autorités.

41.

Le CEPD souligne par ailleurs qu'il conviendrait d'utiliser les outils technologiques non seulement pour garantir l'échange d'informations, mais aussi pour renforcer les droits des personnes concernées. Dans cette optique, il note avec satisfaction que la communication fait référence à la possibilité pour les citoyens de demander leurs casiers judiciaires en ligne et dans la langue de leur choix (19). À cet égard, le CEPD rappelle que, dans son avis sur la proposition de la Commission relative aux échanges d'informations extraites du casier judiciaire, il s'est félicité du fait que l'intéressé puisse demander des informations sur son propre casier judiciaire à l'autorité centrale d'un État membre à condition qu'il soit ou ait été un résident ou un ressortissant de l'État membre requérant ou de l'État membre requis. C'est aussi le CEPD qui a proposé, s'agissant de la coordination des systèmes de sécurité sociale, que l'autorité ayant le contact le plus direct avec la personne concernée serve de guichet unique. Aussi encourage-t-il la Commission à poursuivre sur la même voie en favorisant les outils technologiques — et, en particulier, l'accès en ligne — qui permettent aux citoyens de mieux contrôler les données à caractère personnel qui les concernent, même lorsqu'ils circulent d'un État membre à l'autre.

42.

Le CEPD appuie la proposition de mettre en place un système de justice en ligne et recommande de tenir compte des observations qu'il a formulées dans le présent avis et, notamment:

6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/20

1.

Le 2 juillet 2008, la Commission a adopté une proposition de directive du Parlement européen et du Conseil relative à l'application des droits des patients en matière de soins de santé transfrontaliers (ci-après dénommée «la proposition») (1). Conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, la Commission a transmis cette proposition au CEPD pour consultation.

2.

La proposition vise à mettre en place un cadre communautaire pour la prestation de soins de santé transfrontières dans l'UE, pour les cas où les soins dont les patients souhaitent bénéficier sont prestés dans un autre État membre que le leur. Ce cadre s'articule autour de trois axes principaux:

3.

Ce cadre poursuit un double objectif: assurer suffisamment de clarté concernant les droits en matière de remboursement des soins de santé dispensés dans d'autres États membres, et veiller à ce que les exigences nécessaires de qualité, de sécurité et d'efficacité soient satisfaites pour les soins de santé transfrontières.

4.

La mise en place d'un système de soins de santé transfrontières requiert l'échange, entre les organisations agréées et les professionnels de la santé des différents États membres, de données à caractère personnel pertinentes relatives à la santé des patients. Considérées comme sensibles, ces données sont soumises aux règles de protection renforcée énoncées à l'article 8 de la directive 95/46/CE, qui traite de catégories particulières de données.

5.

Le CEPD se félicite d'être consulté sur cette question conformément à l'article 28 du règlement (CE) no 45/2001 et relève avec satisfaction qu'il est fait référence à cette consultation dans le préambule de la proposition.

6.

C'est la première fois que le CEPD est consulté officiellement à propos d'une proposition de directive dans le domaine des soins de santé. C'est pourquoi certaines des observations qui suivent ont une portée très large — elles abordent des questions générales relevant de la protection des données à caractère personnel dans le secteur des soins de santé — et pourraient dès lors valoir aussi pour d'autres instruments législatifs (contraignants ou non) relevant du même domaine.

7.

Le CEPD souhaite exprimer d'emblée son soutien aux initiatives visant à améliorer les conditions applicables aux soins de santé transfrontières. La proposition devrait en réalité être examinée dans le cadre du programme communautaire global visant à améliorer la santé des citoyens dans la société de l'information. D'autres initiatives en ce sens sont la directive et la communication, annoncées par la Commission sur les dons et la transplantation d'organes (2), la recommandation sur l'interopérabilité des dossiers informatisés de santé (3) et la communication annoncée sur la télémédecine (4). Le CEPD est toutefois préoccupé par le fait que toutes ces initiatives apparentées ne soient pas étroitement liées ou interconnectées sur le plan du respect de la vie privée et de la sécurité des données, ce qui empêche l'adoption d'une approche uniforme de la protection des données, en particulier lorsqu'il est question de recourir à de nouvelles TIC. Par exemple, alors que la proposition à l'examen mentionne expressément la télémédecine au considérant 10, elle ne comporte aucune référence au volet «protection des données» de la communication de la Commission. De plus, alors que les dossiers informatisés de santé constituent un mode possible de communication transnationale des données relatives à la santé, aucun lien n'est établi, dans la proposition, avec les questions de protection de la vie privée abordées dans la recommandation de la Commission en la matière (5). Tout cela donne l'impression qu'une approche globale du respect de la vie privée dans le cadre des soins de santé n'est pas encore clairement définie et que, dans certains cas, elle fait complètement défaut.

8.

C'est ce qui ressort aussi de la proposition à l'examen: le CEPD regrette de constater que les implications pour la protection des données n'y sont pas abordées concrètement. On y trouve bien sûr des références à la protection des données, mais celles-ci sont surtout de nature générale et ne reflètent pas adéquatement les besoins et les exigences spécifiques en matière de respect de la vie privée qui découlent des soins de santé transfrontières.

9.

Le CEPD souhaite insister sur le fait qu'une approche uniforme et bien conçue de la protection des données dans l'ensemble des instruments proposés relatifs aux soins de santé permettra non seulement de garantir le droit fondamental des citoyens à la protection de leurs données, mais contribuera aussi au développement des soins de santé transfrontières dans l'Union européenne.

10.

L'objectif le plus connu de la Communauté européenne a été d'instaurer un marché intérieur, un espace sans frontières intérieures, au sein duquel la libre circulation des biens, des personnes, des services et des capitaux est garantie. Permettre aux citoyens de se déplacer et de résider plus facilement dans d'autres États membres que celui d'où ils proviennent a bien évidemment posé des questions concernant les soins de santé. C'est pourquoi, dans les années 90, la Cour de justice a été amenée à statuer, dans le contexte du marché intérieur, sur le remboursement éventuel de frais médicaux exposés dans un autre État membre: elle a reconnu que la liberté de prester des services, consacrée à l'article 49 du traité CE, impliquait la liberté de se déplacer dans un autre État membre afin d'y recevoir un traitement médical (6). Par conséquent, les patients qui souhaitaient recevoir des soins de santé transfrontières ne pouvaient désormais plus être traités différemment de leurs concitoyens qui recevaient le même traitement médical sans franchir de frontière.

11.

Ces arrêts de la Cour sont au cœur de la proposition à l'examen. Comme la jurisprudence de la Cour repose sur des cas individuels, ladite proposition vise à rendre les choses plus claires, de manière à garantir une application plus générale et plus efficace des libertés de recevoir et de dispenser des services de santé. Toutefois, comme nous l'avons déjà indiqué, la proposition fait également partie d'un programme plus ambitieux qui a pour but d'améliorer la santé des citoyens dans la société de l'information, cadre dans lequel l'UE envisage des possibilités prometteuses d'améliorer les soins de santé transfrontières grâce au recours aux technologies de l'information.

12.

Pour des raisons évidentes, arrêter des règles concernant les soins de santé transfrontières est un exercice délicat: dans ce domaine sensible, les États membres ont instauré des systèmes nationaux différents, en ce qui concerne par exemple l'assurance et le remboursement des frais ou l'organisation des infrastructures de soins de santé, notamment les réseaux et les applications en matière d'informations sur les soins de santé. Même si le législateur communautaire ne se préoccupe, dans la proposition à l'examen, que des soins de santé transfrontières, les règles envisagées influenceront à tout le moins l'organisation des systèmes nationaux de soins de santé.

13.

Les citoyens bénéficieront certes d'une amélioration des conditions applicables aux soins de santé transfrontières, mais cette amélioration impliquera en même temps certains risques pour eux: de nombreux problèmes pratiques, inhérents à la coopération transnationale entre des peuples de pays différents, parlant des langues différentes, doivent être résolus. Comme la santé revêt une importance capitale pour chaque citoyen, il faut exclure tout risque de mauvaise communication et d'erreur qui en découlerait. Il va sans dire qu'une amélioration des soins de santé transfrontières liée à l'utilisation de technologies de l'information en évolution constante a des implications considérables au niveau de la protection des données à caractère personnel. Un échange plus efficace — et dès lors croissant — des données relatives à la santé, la distance de plus en plus grande entre les personnes et les instances concernées, ainsi que les différentes législations nationales mettant en oeuvre les règles de protection des données, soulèvent des questions concernant la sécurité des données et la sécurité juridique.

14.

Il faut souligner que les données relatives à la santé sont considérées comme une catégorie particulière de données, qui méritent une protection renforcée. Comme la Cour européenne des droits de l'homme l'a déclaré récemment à propos de l'article 8 de la Convention européenne des droits de l'homme, la protection des données à caractère personnel, en particulier des données médicales, revêt une importance fondamentale pour l'exercice du droit au respect de la vie privée et de la vie familiale garanti par cette disposition (7). Avant d'expliquer les règles très strictes applicables au traitement des données relatives à la santé qui sont énoncées dans la directive 95/46/CE, nous allons examiner la notion même de «données relatives à la santé».

15.

La directive 95/46/CE ne comporte pas de définition explicite des données relatives à la santé. On donne généralement à celles-ci une interprétation large, puisqu'on les définit souvent comme des «données à caractère personnel (qui) présentent un lien clair et étroit avec la description de l'état de santé d'une personne» (8). Les données relatives à la santé englobent en principe les données médicales (orientation d'un malade par un généraliste vers un spécialiste et prescriptions médicales, rapports d'examens médicaux, tests de laboratoire, radiographies, etc.), ainsi que des données administratives et financières relatives à la santé (documents concernant l'admission dans un hôpital, numéro de sécurité sociale, calendrier des rendez-vous médicaux, factures de prestation de services de santé, etc.). Il convient de noter que l'expression «données médicales» (9) est parfois aussi utilisée dans ce contexte, tout comme l'expression «données relatives aux soins de santé» (10). Dans le présent avis, c'est l'expression «données relatives à la santé»qui sera utilisée.

16.

La norme ISO 27799 propose une définition utile des «données relatives à la santé»: toute information qui se rapporte à la santé physique ou mentale d'une personne, ou à la prestation de services de santé pour cette personne, et qui peut comprendre: a) des informations sur l'inscription de la personne concernée en vue de la prestation de services de santé; b) des informations sur les payements ou l'admissibilité à des soins de santé concernant ladite personne; c) un chiffre, un symbole ou un signe particulier attribué à une personne pour l'identifier de manière unique à des fins de santé; d) des informations sur la personne concernée recueillies lors de la prestation des services de santé dont elle fait l'objet; e) des informations provenant de tests ou d'examens d'une partie du corps ou d'une substance corporelle; et f) l'identification d'un individu (professionnel de la santé) en tant que prestataire de soins de santé pour la personne concernée.

17.

Le CEPD encourage vivement l'adoption d'une définition spécifique de l'expression «données relatives à la santé» dans le contexte de la proposition à l'examen, définition qui pourrait aussi être utilisée à l'avenir dans d'autres textes législatifs pertinents de la CE (voir section III ci-dessous).

18.

L'article 8 de la directive 95/46/CE énonce les règles applicables au traitement de catégories particulières de données. Ces règles sont plus strictes que celles qui régissent le traitement des autres données et qui figurent à l'article 7. En effet, le paragraphe 1 de l'article 8 stipule expressément que les États membres interdisent le traitement (entre autres) des données relatives à la santé. Les paragraphes suivants prévoient plusieurs exceptions à cette interdiction, mais leur portée est plus restreinte que celle des motifs énoncés à l'article 7 pour justifier le traitement des données ordinaires. Par exemple, l'interdiction ne s'applique pas si la personne concernée a donné son consentement explicite (article 8, paragraphe 2, point a)), alors que selon l'article 7, point a), la personne concernée doit avoir indubitablement donné son consentement. De plus, la législation de l'État membre peut prévoir que dans certains cas, l'interdiction ne peut être levée par le consentement de la personne concernée. Le paragraphe 3 de l'article 8 est consacré uniquement au traitement des données relatives à la santé: l'interdiction prévue au paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

19.

L'article 8 de la directive 95/46/CE insiste beaucoup sur le fait que les États membres doivent prévoir des garanties appropriées ou adéquates. Ainsi, le paragraphe 4 autorise les États membres à prévoir, pour un motif d'intérêt public important, des dérogations supplémentaires à l'interdiction de traiter les données sensibles, mais sous réserve de garanties appropriées. Cette disposition souligne en termes généraux la responsabilité qui incombe aux États membres d'accorder une attention particulière au traitement des données sensibles, telles les données relatives à la santé.

20.

Les États membres devraient être particulièrement conscients de la responsabilité que l'on vient de mentionner en cas d'échange transnational de données relatives à la santé. Comme cela a été dit, cet échange augmente le risque que le traitement soit inapproprié ou illicite — ce qui, de toute évidence, peut avoir des conséquences négatives considérables pour la personne concernée. Tant l'État membre de l'affiliation (où le patient est assuré) que l'État membre du traitement (où le soin de santé transfrontière est effectivement administré) sont parties prenantes de ce processus est en partagent dès lors la responsabilité.

21.

Dans ce contexte, la sécurité des données relatives à la santé est un élément important. Dans l'affaire récente citée plus haut, la Cour européenne des droits de l'homme a accordé une importance particulière à la confidentialité des données relatives à la santé en déclarant que le respect de la confidentialité des données relatives à la santé est un principe essentiel dans les systèmes juridiques de toutes les parties contractantes à la Convention et qu'il est crucial non seulement de respecter la vie privée d'un patient mais aussi de préserver sa confiance dans la profession médicale et dans les services de santé en général (11).

22.

Selon les règles en matière de protection des données énoncées dans la directive 95/46/CE, il faut en outre que l'État membre de l'affiliation fournisse aux patients des informations adéquates, exactes et actualisées sur le transfert de ses données à caractère personnel dans un autre État membre, en même temps qu'il assure la sécurité de ce transfert. L'État membre du traitement doit, à son tour, garantir une réception sécurisée de ces données et offrir le niveau approprié de protection lorsque les données sont effectivement traitées, conformément à sa législation nationale sur la protection des données.

23.

Le CEPD souhaite que la proposition décrive clairement la responsabilité partagée des États membres, également dans le cadre de la communication électronique des données, en particulier compte tenu des nouvelles applications TIC — point qui sera examiné ci-dessous.

24.

C'est principalement l'utilisation des technologies de l'information qui permet d'améliorer les échanges transnationaux de données relatives à la santé. Certes, l'échange de données dans le cadre d'un programme de soins de santé transfrontières peut toujours se faire sur papier (par exemple, le patient déménage dans un autre État membre en emportant avec lui tout toutes ses données utiles relatives à la santé, comme des examens de laboratoire, des orientations de son généraliste vers un spécialiste, etc.), mais l'objectif est clairement de recourir à des moyens électroniques. La communication électronique de données relatives à la santé sera facilitée par des systèmes informatiques de soins de santé établis (ou à établir) dans les États membres (dans les hôpitaux, les cliniques, etc.), ainsi que par le recours à de nouvelles technologies, tel le dossier informatisé de santé (pouvant fonctionner via l'internet), ainsi que par d'autres outils comme les cartes de santé des patients et des médecins. Bien sûr, les échanges peuvent aussi prendre une forme combinant le papier et l'électronique, selon les régimes de soins de santé des États membres.

25.

La santé en ligne et la télémédecine, qui entrent dans le champ d'application de la directive proposée, dépendront exclusivement de l'échange de données électroniques relatives à la santé (signes vitaux, images, etc.), qui se fera généralement en combinaison avec l'utilisation d'autres systèmes informatiques de soins de santé situés dans les États membres du traitement et de l'affiliation. Ces applications comprennent les systèmes fonctionnant tant sur une base «patient à médecin» (par exemple, la télésurveillance et le diagnostic à distance), que sur une base «médecin à médecin» (par exemple, la téléconsultation entre praticiens de la santé pour obtenir un avis d'expert sur des cas particuliers). D'autres applications plus spécifiques au service de l'ensemble des prestations de soins de santé transfrontières peuvent également dépendre uniquement de l'échange de données électroniques, comme les prescriptions électroniques ou les orientations électroniques vers un spécialiste, qui sont déjà mises en place au niveau national dans certains États membres (12).

26.

Compte tenu des réflexions qui précèdent et de la diversité actuelle des systèmes de soins de santé des États membres ainsi que du développement croissant des applications «santé en ligne», deux sujets principaux de préoccupation se présentent en ce qui concerne la protection des données à caractère personnel lors de la prestation de soins de santé transfrontières: a) les différents niveaux de sécurité pouvant être appliqués par les États membres pour la protection des données à caractère personnel (en termes de mesures techniques et organisationnelles), et b) l'intégration du respect de la vie privée dans les applications «santé en ligne», en particulier dans leurs nouveaux développements. En outre, d'autres aspects, comme l'utilisation accessoire de données relatives à la santé, en particulier dans le domaine de la production de statistiques, pourraient aussi nécessiter une attention particulière. Ces questions sont analysées en détail dans la suite de la présente section.

27.

Bien que les directives 95/46/CE et 2002/58/CE soient appliquées de manière uniforme en Europe, l'interprétation et la mise en œuvre de certains de leurs éléments peuvent différer d'un pays à l'autre, en particulier dans les domaines où les dispositions de droit sont d'ordre général et laissées à l'appréciation des États membres. Le principal domaine à examiner ici est la sécurité du traitement, c'est-à-dire les mesures (techniques et organisationnelles) que les États membres prennent pour préserver la sécurité des données relatives à la santé.

28.

Si la protection stricte des données relatives à la santé est une responsabilité qui incombe à tous les États membres, il n'existe actuellement aucune définition communément acceptée au sein de l'UE d'un niveau «approprié» de sécurité en matière de soins de santé, qui pourrait être appliquée dans le cas des soins de santé transfrontières. Ainsi, par exemple, un hôpital situé dans un État membre peut être obligé par les règles nationales concernant la protection des données d'adopter des mesures particulières de sécurité (comme, par exemple, la définition d'une politique de sécurité et de codes de conduite, de règles spécifiques pour sous-traiter et recourir à des contractants externes, d'exigences en matière d'audit, etc.) alors que ce ne serait pas le cas dans d'autres États membres. Cette disparité risque d'avoir une incidence sur l'échange transnational de données, en particulier lorsque celui-ci est effectué sous forme électronique, puisque l'on ne peut garantir que les données seront sécurisées (d'un point de vue technique et organisationnel) au même niveau dans les différents États membres.

29.

Il est dès lors nécessaire de viser une plus grande harmonisation dans ce domaine, en définissant un ensemble commun d'exigences de sécurité pour les soins de santé, qui devrait être adopté d'un commun accord par les États membres des prestataires de services de soins de santé. Cette nécessité correspond assurément au besoin général d'inscrire des principes communs au sein des systèmes de santé de l'UE, comme le mentionne la proposition.

30.

Il faudrait agir dans ce sens de façon générale, sans imposer de solutions techniques précises aux États membres, mais en établissant néanmoins une base permettant la reconnaissance et l'acceptation mutuelles dans les domaines, par exemple, de la définition d'une politique de sécurité, de l'identification et de l'authentification des patients et des professionnels de la santé, etc. Les normes européennes et internationales actuelles (comme ISO et CEN) applicables aux soins de santé et à la sécurité, ainsi que des concepts techniques bien acceptés et étayés par une base juridique (par exemple, les signatures électroniques (13), pourraient servir de balises à cet effet.

31.

Le CEPD est en faveur de l'idée d'harmoniser la sécurité en matière de soins de santé au niveau de l'UE et pense que la Commission devrait prendre des initiatives à cet effet, déjà dans le cadre de la proposition à l'examen (voir section III ci-dessous).

32.

Le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre de tout système de soins de santé, et en particulier des applications «santé en ligne» mentionnées dans la proposition («prise en compte du respect de la vie privée dès la conception»). Cette nécessité incontournable a déjà été défendue dans d'autres documents stratégiques (14), qu'ils soient généraux ou consacrés aux soins de santé (15).

33.

Dans le cadre de l'interopérabilité de la santé en ligne examinée dans la proposition, la notion de prise en compte du respect de la vie privée dès la conception devrait à nouveau être présentée comme une base pour tous les développements envisagés. Cette notion s'applique à différents niveaux: organisationnel, sémantique et technique.

34.

Le CEPD pense que l'intégration des exigences en matière de respect de la vie privée et de sécurité dès le tout premier stade de développement pourrait commencer dans le domaine des prescriptions électroniques (voir section III ci-dessous).

35.

Un autre aspect qui pourrait être envisagé dans le cadre de l'échange transnational de données relatives à la santé est l'utilisation accessoire de ces données, et en particulier leur utilisation à des fins statistiques, comme le prévoit déjà la proposition à l'examen.

36.

Comme nous l'avons indiqué au point 18 ci-dessus, l'article 8, paragraphe 4, de la directive 95/46 prévoit la possibilité d'une utilisation accessoire des données relatives à la santé. Toutefois, ce traitement ultérieur ne doit être effectué que pour «un motif d'intérêt public important» et «sous réserve de garanties appropriées» fixées par la législation nationale ou sur décision de l'autorité de contrôle (16). De plus, le traitement de données statistiques (comme le CEPD l'a mentionné dans son avis sur la proposition de règlement relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (17) présente un risque supplémentaire en raison du sens différent que les notions de «confidentialité» et de «protection des données» peuvent revêtir dans le cadre de l'application de la législation sur la protection des données, d'une part, et de la législation sur les statistiques, d'autre part.

37.

Le CEPD souhaite insister sur les éléments qui précèdent dans le contexte de la proposition à l'examen: celle-ci devrait mentionner de manière plus explicite les exigences en matière de protection des données en cas d'utilisation ultérieure de données relatives à la santé (voir section III ci-dessous).

38.

La proposition mentionne à divers endroits la protection des données et le respect de la vie privée, et plus précisément:

39.

Le CEPD se félicite de ce que la protection des données ait été prise en compte lors de l'élaboration de la proposition, et de la tentative faite pour montrer qu'il est nécessaire, de manière générale, de respecter la vie privée dans le contexte des soins de santé transfrontières. Toutefois, les dispositions actuelles de la proposition relatives à la protection des données soit sont trop générales, soit renvoient aux responsabilités des États membres d'une manière plutôt sélective et dispersée:

En outre, comme cela a déjà été dit dans l'introduction du présent avis, aucun lien n'est établi avec les éléments relatifs au respect de la vie privée abordés dans d'autres instruments législatifs de la CE (contraignants ou non) dans le domaine des soins de santé, en particulier en ce qui concerne l'utilisation de nouvelles applications TIC (comme la télémédecine ou les dossiers informatisés de santé), et aucune référence n'y est faite.

40.

Ainsi, bien que le respect de la vie privée soit mentionné de manière générale en tant qu'exigence accompagnant les soins de santé transfrontières, il manque toujours une vue d'ensemble tant des obligations incombant aux États membres que des spécificités induites par la nature transfrontière de la prestation de services de soins de santé (qui la distingue de la prestation de soins de santé nationaux). Plus précisément:

41.

Par ailleurs, l'article 18, qui traite de la collecte des données à des fins statistiques et de suivi, suscite des préoccupations particulières. Le premier paragraphe parle de «données statistiques et autres données supplémentaires»; il mentionne aussi des «fins de suivi» pour énumérer ensuite les domaines faisant l'objet de ces fins de suivi, à savoir la prestation de soins de santé transfrontières, les soins dispensés, les prestataires et les patients, les coûts et les résultats. Dans ce contexte, déjà peu clair, la disposition cite de manière générale la législation sur la protection des données, mais sans ajouter d'exigence spécifique concernant l'utilisation ultérieure de données relatives à la santé, alors que l'article 8, paragraphe 4, de la directive 95/46/CE le prévoit. En outre, le deuxième paragraphe énonce l'obligation inconditionnelle de transférer un grand volume de données à la Commission au moins une fois par an. Comme aucune évaluation de la nécessité de ce transfert n'est mentionnée expressément, il semble que le législateur communautaire ait déjà établi lui-même cette nécessité.

42.

Le CEPD formule ci-après plusieurs recommandations permettant d'aborder comme il se doit les éléments susmentionnés; il les a regroupées en cinq points essentiels impliquant des modifications à apporter.

43.

L'article 4 définit les principaux termes utilisés dans la proposition. Le CEPD recommande vivement d'y introduire une définition des données relatives à la santé. Il faudrait à cette fin partir d'une interprétation large de ce concept, telle qu'elle est décrite à la section II du présent avis (points 14 et 15).

44.

Le CEPD recommande vivement aussi d'introduire dans la proposition un article spécifique sur la protection des données, qui permettrait de définir de manière claire et compréhensible la dimension globale «respect de la vie privée». Cette disposition devrait a) décrire les responsabilités des États membres de l'affiliation et du traitement, y compris — entre autres — celle de garantir la sécurité du traitement des données, et b) recenser les principaux domaines à développer, à savoir l'harmonisation au niveau des mesures de sécurité et la prise en compte du respect de la vie privée dans la santé en ligne. Des dispositions particulières peuvent être prévues pour ces questions (dans le cadre de l'article proposé), comme suggéré aux points 3 et 4 ci-dessous.

45.

Dans la ligne de la modification prévue au point 2, le CEPD recommande à la Commission d'adopter un mécanisme permettant de définir un niveau de sécurité acceptable par tous concernant les données relatives à la santé au niveau national, compte tenu des normes techniques en vigueur dans ce domaine. Cet élément devrait être mentionné dans la proposition. Sa mise en œuvre pourrait se faire par le recours à la procédure de comité, qui est déjà décrite à l'article 19 et s'applique à d'autres parties de la proposition. De plus, d'autres instruments pourraient être utilisés pour élaborer des orientations utiles avec toutes les parties prenantes, comme le groupe de travail «Article 29» et le CEPD.

46.

L'article 14 sur la reconnaissance des prescriptions établies dans un autre État membre prévoit l'élaboration d'un modèle de prescription communautaire, favorisant l'interopérabilité des prescriptions électroniques. Cette mesure doit être adoptée par la procédure de comité définie à l'article 19, paragraphe 2.

47.

Le CEPD recommande que le modèle proposé de prescription électronique incorpore les concepts de respect de la vie privée et de sécurité des données, et ce dès le stade de la définition sémantique de base dudit modèle. Ce point devrait être expressément mentionné à l'article 14, paragraphe 2, point a). Ici aussi, la participation de toutes les parties prenantes revêt une grande importance. Le CEPD souhaite être informé de toute nouvelle mesure prise à ce sujet au moyen de la procédure de comité proposée et y être associé.

48.

Pour éviter tout risque d'erreur, le CEPD préconise de clarifier la notion d'«autres données supplémentaires» figurant à l'article 18, paragraphe 1. Cette disposition devrait en outre être modifiée de manière à énoncer plus explicitement les conditions à respecter aux fins de l'utilisation ultérieure des données relatives à la santé, comme le prévoit l'article 8, paragraphe 4, de la directive 95/46/CE. Par ailleurs, l'obligation de transmettre toutes les données à la Commission, prévue au paragraphe 2, devrait être assortie d'une obligation d'évaluer la nécessité de ces transferts, qui doivent avoir des fins légitimes dûment précisées à l'avance.

49.

Le CEPD souhaite exprimer son soutien aux initiatives visant à améliorer les conditions applicables à la prestation de soins de santé transfrontières. Il est toutefois préoccupé par le fait que les initiatives communautaires en matière de soins de santé ne sont pas toujours véritablement coordonnées en ce qui concerne l'utilisation des TIC, le respect de la vie privée et la sécurité des données, ce qui empêche l'adoption d'une approche uniforme des soins de santé en termes de protection des données.

50.

Le CEPD se félicite de ce que la proposition à l'examen mentionne le respect de la vie privée. Plusieurs modifications s'avèrent toutefois nécessaires, comme expliqué à la section III du présent avis, afin d'énoncer clairement les exigences applicables aux États membres tant de l'affiliation que du traitement et de tenir dûment compte de la dimension «protection des données» des soins de santé transfrontières:

6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/28

1.

Le 13 novembre 2007, la Commission européenne a adopté une proposition de directive (ci-après dénommée «proposition de la Commission») modifiant, entre autres, la directive «vie privée et communications électroniques» (1). Le 10 avril 2008, le CEPD a rendu un avis sur la proposition de la Commission dans lequel il a formulé des recommandations visant à l'améliorer afin que les modifications proposées aboutissent à la meilleure protection possible de la vie privée et des données à caractère personnel (ci-après dénommé «premier avis du CEPD») (2).

2.

Le CEPD s'est félicité de la proposition de la Commission de créer un système de notification obligatoire des violations de la sécurité, exigeant que les sociétés informent les personnes lorsque leurs données à caractère personnel ont été compromises. En outre, le CEPD a également accueilli favorablement la nouvelle disposition permettant aux personnes morales (par exemple, aux associations de consommateurs et aux fournisseurs de services internet) d'engager des actions en justice contre les polluposteurs, en vue de compléter les instruments existants visant à lutter contre les pourriels.

3.

Lors des débats parlementaires qui ont précédé la première lecture du Parlement européen, le CEPD a rendu un avis complémentaire en présentant ses observations sur certaines questions découlant des rapports établis par les commissions du Parlement européen compétentes pour procéder au réexamen des directives «service universel» (3) et «vie privée et communications électroniques» (ci-après dénommées «observations du CEPD») (4). Ces observations portent essentiellement sur des questions liées au traitement des données relatives au trafic et à la protection des droits de propriété intellectuelle.

4.

Le 24 septembre 2008, le Parlement européen (ci-après dénommé «PE») a adopté une résolution législative sur la directive «vie privée et communications électroniques» (ci-après dénommée «première lecture du PE») (5). Le CEPD a accueilli favorablement plusieurs des amendements adoptés par le PE à la suite de l'avis et des observations du CEPD mentionnés précédemment. Parmi les modifications importantes figurait la soumission des fournisseurs de services de la société de l'information (c'est-à-dire de sociétés fournissant des services via l'internet) à l'obligation de notifier des violations de la sécurité. Le CEPD a également salué l'amendement permettant aux personnes morales et physiques d'intenter des actions en justice pour violation des dispositions de la directive «vie privée et communications électroniques» (et non seulement pour violation des dispositions relatives au pollupostage comme le prévoyait initialement la proposition de la Commission). La première lecture du PE a été suivie de l'adoption par la Commission d'une proposition modifiée de directive relative à la directive «vie privée et communications électroniques» (ci-après dénommée «proposition modifiée de la Commission») (6).

5.

Le 27 novembre 2008, le Conseil a dégagé un accord politique sur le réexamen des règles relatives au paquet Télécom, y compris de la directive «vie privée et communications électroniques», qui deviendra la position commune du Conseil (ci-après dénommée «position commune du Conseil») (7). Conformément à l'article 251, paragraphe 2, du traité instituant la Communauté européenne, la position commune du Conseil sera transmise au PE, qui pourra ensuite proposer des amendements à celle-ci.

6.

Le Conseil a modifié des éléments essentiels du texte de la proposition et a rejeté de nombreux amendements adoptés par le PE. Alors que la position commune du Conseil comporte certainement des éléments positifs, le CEPD est, dans l'ensemble, préoccupé quant à son contenu, compte tenu en particulier du fait que celle-ci ne reprend pas certaines des modifications constructives présentées par le PE ou dans la proposition modifiée de la Commission ou les avis du CEPD et des autorités européennes de protection des données, rendus dans le cadre du groupe «Article 29» (8).

7.

En revanche, dans un certain nombre de cas, des dispositions figurant dans la proposition modifiée de la Commission et les amendements du PE, qui offrent des garanties aux citoyens, sont supprimées ou considérablement édulcorées. Par conséquent, le niveau de protection accordé aux personnes dans la position commune est considérablement affaibli. C'est pour ces raisons que le CEPD formule aujourd'hui un deuxième avis, dans l'espoir qu'au fur et à mesure de la progression de la directive «vie privée et communications électroniques» dans le processus législatif, de nouvelles modifications seront adoptées, qui rétabliront les garanties en matière de protection des données.

8.

Le présent avis porte essentiellement sur certaines préoccupations centrales et ne reproduit pas l'ensemble des remarques formulées dans le premier avis ou les observations du CEPD, qui restent néanmoins toutes valables. Le présent avis traite en particulier des points suivants:

9.

Dans le cadre de l'examen de ces points, le présent avis analyse la position commune du Conseil et la compare avec la première lecture du PE et la proposition modifiée de la Commission. Le présent avis contient des recommandations qui visent à rationaliser les dispositions de la directive «vie privée et communications électronique» et à s'assurer que celle-ci continue à protéger de manière adéquate la vie privée et les données à caractère personnel des intéressés.

10.

Le CEPD est favorable à l'adoption d'un système de notification des violations de la sécurité dans le cadre duquel les autorités et les personnes seront informées lorsque leurs données à caractère personnel auront été compromises (9). Les notifications des violations de la sécurité peuvent aider les personnes à prendre les mesures qui s'imposent pour réduire les dommages susceptibles de résulter d'une telle compromission. En outre, l'obligation de notifier les violations de la sécurité incitera les sociétés à améliorer la sécurité des données et les rendra davantage comptables des données à caractère personnel dont elles sont responsables.

11.

La proposition modifiée de la Commission, la première lecture du PE et la position commune du Conseil représentent trois approches différentes de la notification des violations de la sécurité en cours d'examen. Chacune de ces approches présente des aspects positifs. Toutefois, le CEPD estime que des améliorations peuvent être apportées à chacune d'entre elles et recommande de tenir compte des recommandations formulées ci-après dans le cadre de l'examen des dernières étapes de l'adoption d'un système de notification des violations de la sécurité.

12.

Lors de l'analyse des trois systèmes de notification des violations de la sécurité, il convient d'examiner cinq points essentiels: i) la définition de la violation de la sécurité; ii) les entités concernées par l'obligation de notification (ci-après dénommées «entités concernées»); iii) le critère de déclenchement de l'obligation de notification; iv) la détermination de l'entité chargée de décider si une violation de la sécurité remplit ou non ce critère, et v) les destinataires de la notification.

13.

Le PE, la Commission et le Conseil n'ont pas adopté la même approche en matière de notification des violations de la sécurité. La première lecture du PE a modifié le système de notification des violations de la sécurité qui figurait à l'origine dans la proposition de la Commission (10). Dans le cadre de l'approche du PE, l'obligation de notification s'applique non seulement aux fournisseurs de services de communications électroniques accessibles au public (ci-après dénommés «FSCEP»), mais aussi aux fournisseurs de services de la société de l'information (ci-après dénommés «FSSI»). En outre, dans le cadre de cette approche, toutes les violations de données à caractère personnel devraient être notifiées à l'autorité règlementaire nationale ou aux autorités compétentes (ci-après collectivement dénommées «autorités»). Si les autorités devaient juger la violation grave, elles demanderaient aux FSCEP et aux FSSI d'avertir sans délai la personne affectée. En cas de violations représentant un danger imminent et direct, les FSCEP et les FSSI informeraient les personnes avant les autorités, sans attendre de décision règlementaire. Une exception à l'obligation de notification concerne les entités qui peuvent prouver aux autorités que «les mesures de protection technologiques appropriées ont été appliquées» et que ces mesures rendent les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

14.

Dans le cadre de l'approche du Conseil, la notification doit aussi être adressée à la fois aux abonnés et aux autorités, mais seulement lorsque l'entité concernée estime que la violation fait peser un risque grave sur la vie privée de l'abonné (par exemple en cas de vol ou d'usurpation d'identité, d'atteinte à l'intégrité physique, d'humiliation grave ou d'atteinte à la réputation).

15.

La proposition modifiée de la Commission conserve l'obligation, proposée par le PE, de notifier toutes les violations aux autorités. Toutefois, contrairement à l'approche du PE, elle prévoit une exception à l'exigence de notification aux personnes concernées lorsque le FSCEP prouve à l'autorité compétente i) qu'il y a «raisonnablement peu de chances» pour que ladite violation cause un préjudice (par exemple, un préjudice économique ou social ou une usurpation d'identité) ou ii) que les «mesures de protection technologiques appropriées» ont été appliquées aux données concernées par la violation. Ainsi, l'approche de la Commission prévoit une analyse fondée sur le préjudice liée aux notifications individuelles.

16.

Il importe de noter que, dans le cadre des approches du PE (11) et de la Commission, ce sont les autorités qui, en définitive, sont chargées de déterminer si la violation est grave ou s'il y a des chances raisonnables pour qu'elle cause un préjudice. En revanche, dans le cadre de l'approche du Conseil, la décision incombe aux entités concernées.

17.

Les approches du Conseil et de la Commission ne s'appliquent qu'aux seuls FSCEP, et non aux FSSI, comme celle du PE.

18.

Le CEPD se réjouit de constater que les trois propositions législatives contiennent la même définition de la violation de la sécurité, décrite comme une «violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel transmises, stockées ou traitées d'une autre manière […]». (12)

19.

Comme il est précisé ci-après, il y a lieu de se féliciter de cette définition, car elle est suffisamment générale pour englober la plupart des situations pertinentes dans lesquelles la notification des violations de la sécurité pourrait être garantie.

20.

En premier lieu, la définition inclut les cas dans lesquels un tiers a eu un accès non autorisé à des données à caractère personnel, par exemple lors du piratage d'un serveur contenant de telles données et de la récupération d'informations de ce type.

21.

En deuxième lieu, cette définition couvrirait également des situations dans lesquelles il y a eu perte ou divulgation de données à caractère personnel, sans que l'accès non autorisé n'ait encore été prouvé. Cela comprendrait notamment des situations dans lesquelles les données à caractère personnel ont été perdues (par exemple, sur des CD-Rom, des clés USB ou d'autres appareils portatifs), ou rendues publiques par des utilisateurs réguliers (fichier de données d'un employé mis temporairement et par inadvertance à la disposition du public sur internet). Comme il n'existera souvent aucune preuve d'un accès ou d'une utilisation effectifs de ces données par des tiers non autorisés à un moment donné, il semble approprié que ces cas relèvent de la définition. Par conséquent, le CEPD recommande de conserver cette définition. Il recommande en outre d'inclure la définition de la violation de la sécurité à l'article 2 de la directive «vie privée et communications électroniques», ce qui ce serait plus conforme à la structure générale de la directive et apporterait davantage de clarté.

22.

Dans le cadre de l'approche du PE, l'obligation de notification s'applique à la fois aux FSCEP et aux FSSI. Par contre, dans le cadre de celles du Conseil et de la Commission, seuls les FSCEP tels que les sociétés de télécommunications et les fournisseurs d'accès internet seront tenus d'informer les intéressés qui subiront des violations de la sécurité aboutissant à une compromission de leur données à caractère personnel. D'autres secteurs d'activité, notamment les banques, détaillants et fournisseurs de services de santé en ligne ne sont pas liés par cette obligation. Pour les raisons exposées ci-après, le CEPD estime que, dans une perspective de politique publique, il est essentiel de s'assurer que les services de la société de l'information, parmi lesquels figurent notamment les entreprises en ligne, les banques en ligne et les fournisseurs de services de santé en ligne, sont également soumis à l'obligation de notification.

23.

En premier lieu, le CEPD fait observer que, même si les sociétés de télécommunications sont certainement la cible de violations de sécurité qui méritent de faire l'objet d'une obligation de notification, il en va de même pour d'autres types de sociétés et de fournisseurs. Les détaillants, banques et pharmacies en ligne sont tout autant susceptibles de subir des violations de sécurité que les sociétés de télécommunications, si ce n'est davantage. Par conséquent, les considérations relatives aux risques ne pèsent pas en faveur de la limitation de l'obligation de notification des violations aux seuls FSCEP. La nécessité d'une approche plus générale est illustrée par l'expérience de pays tiers. Par exemple, aux États-Unis, la quasi-totalité des États (plus de 40 à ce stade) ont adopté des législations relatives à la notification des violations de la sécurité et dont le champ d'application est plus large, englobant non seulement les FSCEP, mais aussi toutes les entités détenant les données à caractères personnelles concernées.

24.

En deuxième lieu, même si une violation de la sécurité des catégories de données à caractère personnel régulièrement traitées par les FSCEP est à l'évidence susceptible d'avoir une incidence sur la vie privée d'une personne, il en va de même, si ce n'est davantage, en ce qui concerne les catégories de données à caractère personnel traitées par les FSSI. Les banques et d'autres institutions financières sont assurément susceptibles de détenir des informations hautement confidentielles (telles que les informations relatives aux comptes bancaires), dont la divulgation peut être utilisée à des fins d'usurpation d'identité. De même, la divulgation par des services de santé en ligne d'informations très sensibles relatives à la santé est susceptible d'être particulièrement préjudiciable aux intéressés. Par conséquent, les catégories de données à caractère personnel susceptibles d'être compromises sont telles que la notification des violations de la sécurité doit aussi faire l'objet d'une application plus large prévoyant au minimum d'y assujettir les FSSI.

25.

Certains arguments d'ordre juridique ont été invoqués contre l'élargissement du champ d'application de cet article, en ce qui concerne les entités assujetties à cette obligation. En particulier, le fait que les seuls FSCEP relèvent du champ d'application général de la directive «vie privée et communications électroniques» a été présenté comme un obstacle au fait d'appliquer aussi l'obligation de notification aux FSSI.

26.

À cet égard, le CEPD tient à rappeler que: i) aucun obstacle juridique d'aucune sorte ne s'oppose à ce que d'autres entités que les FSCEP ne relèvent de certaines dispositions de la directive. Le législateur communautaire a toute latitude à cet égard; ii) d'autres précédents d'application à des entités autres que les FSCEP existent dans la directive «vie privée et communications électroniques» actuellement en vigueur.

27.

Par exemple, l'article 13 ne s'applique pas seulement aux FSCEP mais aussi à toutes les sociétés qui effectuent des communications non sollicitées nécessitant le consentement préalable du destinataire. En outre, l'article 5, paragraphe 3, de la directive «vie privée et communications électroniques», qui interdit notamment le stockage d'informations telles que des cookies dans l'équipement terminal des utilisateurs, lie non seulement les FSCEP, mais aussi toute personne qui tente de stocker des informations ou d'accéder à des informations stockés dans l'équipement terminal des intéressés. En outre, dans le cadre du processus législatif actuel, la Commission a même proposé d'étendre l'application de l'article 5, paragraphe 3, aux cas de technologies similaires (cookies/logiciels espions) fournies non seulement par le biais des systèmes de communications électroniques, mais aussi par toute autre méthode possible (distribution par téléchargement à partir d'internet ou via des supports de stockage de données externes, tels que CD-ROM, clés USB, mémoires flash, etc.) Tous ces éléments sont bienvenus et devraient être conservés, mais constituent aussi des précédents à prendre en compte dans le cadre de la discussion actuelle sur le champ d'application.

28.

En outre, dans le cadre du processus législatif actuel, la Commission et le PE, et dans un certain sens le Conseil, ont proposé un nouvel article 6, paragraphe 6 bis, examiné ci-après, qui s'applique à d'autres entités que les FSCEP.

29.

Enfin, compte tenu de l'ensemble des éléments positifs résultant de l'obligation de notification des violations de la sécurité, il est fort probable que les citoyens s'attendront à en bénéficier non seulement lorsque leurs données à caractère personnel auront été compromises par les FSCEP, mais aussi lorsqu'elles l'auront été par les FSSI. Il se peut qu'il ne soit pas répondu aux attentes des citoyens si, par exemple, ceux-ci ne sont pas informés de la perte par une banque en ligne des informations relatives à leurs comptes bancaires.

30.

En résumé, le CEPD est convaincu qu'il ne sera pleinement tiré parti de l'ensemble des avantages de la notification des violations de la sécurité que si les entités relevant de la directive comprennent à la fois les FSCEP et les FSSI.

31.

En ce qui concerne le déclenchement de la notification, le CEPD estime, comme cela est expliqué plus en détail ci-après, que le plus approprié des trois critères proposés est celui retenu dans la proposition modifiée de la Commission, selon lequel il y a des chances raisonnables pour que la violation porte préjudice. Toutefois, il importe de s'assurer que la définition du terme «préjudice» est suffisamment générale pour couvrir tous les cas pertinents dans lesquels la violation a des effets négatifs sur la vie privée ou d'autres intérêts légitimes des personnes. Dans le cas contraire, il serait préférable de prévoir un nouveau critère de déclenchement de l'obligation de notification s'il y a des chances raisonnables pour que la violation ait des effets négatifs pour les personnes.

32.

Comme indiqué au point précédent, les conditions dans lesquelles la notification aux intéressés est obligatoire (ci-après dénommées «critère de déclenchement» ou «critère») varient en fonction des approches adoptées par le PE, la Commission et le Conseil. Manifestement, la quantité des notifications que recevront les intéressés dépendra, en grande partie, du critère de déclenchement fixé pour la notification.

33.

Dans le cadre des approches du Conseil et de la Commission, la notification doit être adressée si la violation «fait peser un risque grave sur la vie privée de l'abonné» (Conseil) ou «s'il y a des chances raisonnables pour que la violation porte préjudice au consommateur» (Commission). Dans le cadre de l'approche du PE, le critère de déclenchement de la notification aux intéressés est «la gravité de la violation» (la notification n'étant exigée que si la violation est jugée «grave»). La notification n'est pas nécessaire en deçà de ce seuil (13).

34.

Le CEPD estime que si des données à caractère personnel ont été compromises, on peut soutenir que les personnes auxquelles ces données appartiennent ont le droit d'en être informées dans tous les cas. Toutefois, il est tout à fait légitime de s'interroger sur la question de savoir s'il s'agit d'une bonne solution à la lumière d'autres intérêts et considérations.

35.

Il a été avancé que l'obligation d'adresser des notifications dans tous les cas de compromissions de données à caractère personnel, c'est-à-dire sans aucune limitation, pourrait conduire à trop notifier et engendrer une «lassitude face aux notifications» susceptible d'aboutir à une désensibilisation. Comme cela est précisé ci-après, le CEPD est sensible à cet argument. Toutefois, il tient dans le même temps à souligner sa crainte que trop notifier ne puisse être le signe d'un échec général des pratiques en matière de sécurité de l'information.

36.

Comme indiqué précédemment, le CEPD est conscient des conséquences négatives que pourrait avoir le fait de trop notifier et il souhaite contribuer à faire en sorte que le cadre juridique adopté pour la notification des violations de la sécurité n'aboutisse pas à un tel résultat. Si les personnes devaient recevoir des notifications de violations trop fréquentes, y compris dans des situations non accompagnées d'effets négatifs ni de préjudices, c'est l'un des principaux objectifs des notifications qui risquerait d'être compromis car ces personnes pourraient paradoxalement négliger de prendre en considération les notifications dans des situations où la prise de mesure de protection par celles-ci pourraient en réalité s'imposer. Il importe dès lors de parvenir à un juste équilibre permettant de veiller à ce que les notifications soient utiles car si les personnes ne réagissent pas aux notifications qu'elles reçoivent, l'efficacité des systèmes de notification s'en trouverait fortement réduite.

37.

Afin d'adopter un critère approprié qui ne conduise pas à trop notifier, il convient d'examiner d'autres éléments, en plus du critère de déclenchement de la notification, notamment la définition de la violation de la sécurité et les informations relevant de l'obligation de notification. À cet égard, le CEPD fait observer que dans le cadre des trois approches proposées, la quantité des notifications est susceptible d'être élevée compte tenu de la large définition de la violation de la sécurité dont il a été question précédemment. Cette crainte de trop notifier est en outre soulignée par le fait que la définition de la violation de la sécurité englobe tous les types de données à caractère personnel. Même si le CEPD estime qu'il s'agit là de la bonne approche ( c'est-à-dire consistant à ne pas limiter les types de données à caractère personnel soumises à notification), par opposition à d'autres approches comme celles de la législation américaine, dans laquelle les prescriptions mettent l'accent sur le caractère sensible des informations, il s'agit néanmoins d'un élément à prendre en compte.

38.

À la lumière de ce qui précède et compte tenu des différentes variables considérées en bloc, le CEPD juge approprié d'introduire un seuil ou un critère en deçà duquel la notification n'est pas obligatoire.

39.

Les deux critères proposés, à savoir le fait que la violation «fait peser un risque grave sur la vie privée» ou qu'«il y a des chances raisonnables pour que la violation porte préjudice», semblent inclurent, par exemple, les dommages sociaux, l'atteinte à la réputation et les pertes économiques. Ainsi, ces critères couvriraient des cas d'exposition à une usurpation d'identité par la divulgation d'éléments d'identification non publics, tels que des numéros de passeport, ainsi que la divulgation d'informations relatives à la vie privée d'un individu. Le CEPD accueille favorablement cette approche. Il est convaincu que les avantages de la notification des violations de la sécurité ne seraient pas pleinement atteints si le système de notification ne portait que sur des violations entraînant un préjudice économique.

40.

Parmi les deux critères proposés, le CEPD préfère celui de la Commission, selon lequel «il y a des chances raisonnables pour que la violation porte préjudice», car il garantirait un niveau de protection des personnes plus approprié. La probabilité pour que des violations doivent faire l'objet d'une notification est bien plus élevée s'il y a des chances raisonnables pour qu'elles portent préjudice à la vie privée d'une personne que si elles doivent faire peser un «risque grave» de tel préjudice. Ainsi, le fait de ne couvrir que les violations faisant peser un risque grave sur la vie privée des personnes limiterait considérablement le nombre des violations qui devraient être notifiées. Cela donnerait aux FSCEP et aux FSSI un énorme pouvoir discrétionnaire pour décider si une notification est requise, dans la mesure où il leur serait bien plus facile de justifier la conclusion selon laquelle il n'existe pas de «risque grave» de préjudice que la conclusion selon laquelle il y a «raisonnablement peu de chances» qu'un préjudice survienne. Bien qu'il convienne assurément de se garder de trop notifier, le bénéfice du doute doit, en définitive, être accordé à la protection de la vie privée des personnes, et il convient que ces dernières soient protégées au moins lorsqu'il y a des chances raisonnables pour qu'une violation leur porte préjudice. Par ailleurs, l'expression «chances raisonnables» sera plus efficace en pratique, tant pour les entités concernées que pour les autorités compétentes, car elle exige une évaluation objective de la situation et du contexte correspondant.

41.

En outre, les violations de données à caractère personnel peuvent causer un préjudice difficile à quantifier et susceptible de varier. En effet, la divulgation d'un même type de données peut, en fonction des circonstances individuelles, entraîner un préjudice important pour une personne donnée et moins important pour une autre. Un critère qui nécessiterait un préjudice important, substantiel ou grave ne serait pas approprié. Ainsi, l'approche adoptée par le Conseil, qui exige que la violation affecte gravement la vie privée de la personne, lui fournirait une protection inappropriée dans la mesure où un tel critère impose que l'effet sur la vie privée soit «grave». Ce point peut également donner lieu à une évaluation subjective.

42.

Bien que, comme indiqué précédemment, le critère selon lequel «il y a des chances raisonnables pour qu'une violation porte préjudice» semble être adapté à la notification des violations de la sécurité, le CEPD demeure néanmoins préoccupé par le fait que ce critère est susceptible de ne pas englober toutes les situations dans lesquelles la notification aux personnes est garantie, c'est-à-dire toutes les situations dans lesquelles il y a des chances raisonnables pour que la violation ait des effets négatifs sur la vie privée ou d'autres droits légitimes des personnes. C'est la raison pour laquelle on pourrait envisager un critère qui imposerait la notification «s'il y a des chances raisonnables pour que la violation ait des effets négatifs pour les personnes».

43.

Ce critère de remplacement présente l'avantage supplémentaire d'être conforme à la législation de l'UE relative à la protection des données. En effet, la directive relative à la protection des données mentionne souvent les atteintes aux droits et libertés des personnes concernées. Par exemple, l'article 18 et le considérant 49, qui concernent l'obligation de notifier les traitements de données aux autorités chargées de la protection des données, autorisent les États membres à prévoir des dérogations à cette obligation dans les cas où les traitements de données «ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées». Une formulation similaire est utilisée à l'article 16, paragraphe 6, de la position commune du Conseil afin de permettre aux personnes morales d'engager des actions en justice contre les polluposteurs.

44.

En outre, compte tenu de ce qui précède, il faudrait également que les entités concernées et en particulier les autorités compétentes pour faire appliquer la législation relative à la protection des données connaissent mieux le critère susmentionné, ce qui faciliterait leur évaluation visant à déterminer si une violation donnée remplit ou non le critère requis.

45.

Dans le cadre de l'approche du PE (les cas de danger imminent étant exceptés) et de la proposition modifiée de la Commission, il appartiendra aux autorités des États membres de déterminer si une violation de la sécurité remplit ou non le critère de déclenchement de l'obligation d'informer les personnes concernées.

46.

Le CEPD estime que la participation d'une autorité joue un rôle important pour déterminer si le critère est satisfait dès lors qu'elle constitue, dans une certaine mesure, une garantie de la bonne application de la législation. Un tel système est susceptible d'empêcher les sociétés d'évaluer à tort une violation comme non préjudiciable ou non grave et d'éviter ainsi qu'elles ne s'abstiennent d'adresser une notification alors que celle-ci est, en fait, nécessaire.

47.

Par ailleurs, le CEPD craint qu'un régime qui impose aux autorités de procéder à l'évaluation ne puisse poser des difficultés d'ordre pratique et être malaisé à mettre en oeuvre, ou qu'il ne puisse s'avérer contre-productif en pratique. Il se peut même qu'il réduise les garanties des intéressés en matière de protection des données.

48.

En effet, dans le cadre d'une telle approche, les autorités chargées de la protection des données seraient vraisemblablement inondées de notifications de violations de la sécurité et pourraient se trouver confrontées à de graves difficultés pour procéder aux évaluations nécessaires. Il importe de garder à l'esprit que pour évaluer si une violation remplit le critère, les autorités devront être en possession d'informations d'ordre interne suffisantes, souvent de nature complexe et technique, qu'elles devront traiter très rapidement. Compte tenu de la difficulté de l'évaluation et du fait que certaines autorités disposent de ressources limitées, le CEPD craint qu'il ne leur soit très difficile de respecter cette obligation et que cela ne puisse détourner des ressources qui auraient dû être consacrées à d'autres priorités importantes. En outre, un tel système est susceptible d'exercer une pression excessive sur les autorités, car si celles-ci décident que la violation n'est pas grave et que des personnes subissent néanmoins un préjudice, lesdites autorités pourraient éventuellement en être tenues pour responsables.

49.

La difficulté décrite ci-dessus est encore soulignée si l'on tient compte du fait que le temps est un facteur essentiel pour réduire les risques résultant des violations de la sécurité. À moins que les autorités ne soient en mesure de procéder à l'évaluation dans des délais très courts, le temps supplémentaire qui leur est nécessaire pour y procéder est susceptible d'accroître les préjudices subis par les personnes concernées. Par conséquent, cette mesure supplémentaire qui vise à renforcer la protection des intéressés peut paradoxalement aboutir à une moindre protection que celle offerte par les systèmes fondés sur la notification directe.

50.

Pour les raisons exposées ci-dessus, le CEPD estime qu'il serait préférable d'instaurer un système selon lequel ce serait aux entités concernées d'évaluer si la violation remplit ou non le critère, comme le prévoit l'approche du Conseil.

51.

Néanmoins, afin d'éviter les risques d'abus éventuel, par exemple si des entités refusent d'adresser une notification dans des circonstances où celle-ci s'impose clairement, il est de la plus haute importance d'inclure certaines garanties, décrites ci-après, en matière de protection des données.

52.

En premier lieu, l'obligation s'appliquant aux entités concernées de décider si elles doivent adresser une notification doit, à l'évidence, être accompagnée d'une autre obligation impérative de notifier aux autorités toutes les violations qui remplissent le critère requis. Les entités concernées devraient dans de tels cas être tenues d'informer les autorités de la violation et des raisons de leur décision relative à la notification, ainsi que du contenu de toute notification adressée.

53.

En deuxième lieu, les autorités doivent se voir attribuer un réel rôle de supervision. Dans l'exercice de ce rôle, elles doivent être autorisées, mais non obligées, à enquêter sur les circonstances de la violation et à exiger toute mesure corrective susceptible d'être appropriée (14). Elles devraient non seulement être autorisées à adresser des notifications aux personnes (lorsque cela n'a pas encore été fait) mais également être capables d'imposer l'obligation de prendre certaines mesures afin d'éviter la poursuite des violations. Les autorités devraient se voir attribuer des ressources et des pouvoirs effectifs à cet effet et disposer de la marge de manœuvre nécessaire pour décider du bon moment pour réagir à une notification de violation de la sécurité. En d'autres termes, cela permettrait aux autorités d'être sélectives et de mener des enquêtes concernant, par exemple, des violations de sécurité de grande ampleur et véritablement préjudiciables, en vérifiant et contrôlant le respect des prescriptions légales.

54.

Pour parvenir à ce résultat, le CEPD recommande, en plus des pouvoirs reconnus par la directive «vie privée et communications électroniques» comme ceux visés à l'article 15 bis, paragraphe 3, et par la directive relative à la protection des données, d'insérer la disposition suivante: «Si l'abonné ou la personne concernée n'a pas encore été informé, l'autorité nationale compétente peut, après avoir examiné la nature de la violation, demander au FSCEP ou au FSSI de le faire».

55.

En outre, le CEPD recommande au PE et au Conseil de confirmer l'obligation proposée par le PE (amendement 122, article 4, paragraphe 1 bis) imposant aux entités de procéder à l'évaluation et à l'identification des risques concernant leurs systèmes et les données à caractère personnel qu'elles ont l'intention de traiter. Conformément à cette obligation, les entités établiront une définition adaptée et précise des mesures de sécurité qui seront appliquées dans leur cas, et qui devraient être à la disposition des autorités. Si une violation de la sécurité survient, cette obligation aidera les entités concernées — et à terme aussi les autorités dans leur rôle de supervision — à déterminer si la compromission des informations en cause est susceptible de nuire ou de porter préjudice aux intéressés.

56.

En troisième lieu, l'obligation s'appliquant aux entités concernées de décider si elles doivent adresser une notification aux personnes doit s'accompagner d'une obligation de tenir à jour une piste de vérification interne, détaillée et complète, décrivant les violations qui se sont produites, ainsi que les notifications correspondantes et les mesures prises pour éviter de futures violations. Cette piste de vérification interne doit être à la disposition des autorités en vue d'éventuels contrôles et enquêtes réalisés par ces dernières, ce qui leur permettra de remplir leur rôle de supervision. Pour ce faire, on pourrait adopter une disposition dont la teneur s'inspirerait de celle-ci: «Les FSCEP et les FSSI conservent et tiennent à jour des registres exhaustifs décrivant en détail toutes les violations de la sécurité qui se sont produites, ainsi que les informations techniques pertinentes relatives à ces violations et les mesures correctives qui ont été prises. Les registres mentionnent également toutes les notifications adressées aux abonnés ou aux personnes concernées, ainsi qu'aux autorités nationales compétentes, en précisant leur date et leur contenu. Les registres sont présentés à l'autorité nationale compétente à sa demande».

57.

Il va de soi que, pour garantir la cohérence de la mise en œuvre de ce critère ainsi que celle d'autres aspects pertinents du cadre relatif aux violations de la sécurité, tels que le format et les procédures de notification, il serait approprié que la Commission adopte des mesures de mise en œuvre technique, après consultation du CEPD, du groupe «Article 29» et des parties concernées.

58.

En ce qui concerne les destinataires des notifications, le CEPD préfère la terminologie utilisée par le PE et la Commission, à celle du Conseil. En effet, le PE a remplacé le terme «abonnés» par «utilisateurs». La Commission utilise les termes «abonnés» et «particulier concerné». Les formulations utilisées par le PE et la Commission feraient figurer parmi les destinataires des notifications non seulement les abonnés actuels, mais aussi les anciens abonnés et des tiers, tels que des utilisateurs qui ont des relations avec certaines entités concernées sans y être abonnés. Le CEPD se félicite de cette approche et invite le PE et le Conseil à la conserver.

59.

Néanmoins, le CEPD constate un certain nombre d'incohérences dans la terminologie employée dans la première lecture du PE qu'il conviendrait de corriger. Par exemple, le terme «abonnés» a été remplacé dans la plupart des cas, mais pas toujours, par le terme «utilisateurs» et, dans d'autres cas, par le terme «consommateurs». Il conviendrait d'harmoniser ce point.

60.

L'article 3, paragraphe 1, de la directive «vie privée et communications électroniques» actuelle établit que celle-ci s'applique principalement aux entités (dénommés plus haut «FSCEP») qui assurent le traitement de données «dans le cadre de» la fourniture de services de communications électroniques accessibles au public sur les réseaux publics (15). Parmi les activités des FSCEP, on peut citer la fourniture d'accès à internet, la transmission d'informations par des réseaux électroniques, les connexions de téléphonie mobile ou fixe, etc.

61.

Le Parlement européen a voté l'amendement 121 modifiant l'article 3 de la proposition initiale de la Commission, qui vise à élargir le champ d'application de la directive «vie privée et communications électroniques» afin d'y inclure le «traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics et privés et sur les réseaux privés accessibles au public dans la Communauté, […]» (article 3, paragraphe 1, de la directive «vie privée et communications électroniques»). Malheureusement, ni le Conseil ni la Commission n'ont été en mesure d'accepter cet amendement, dont l'esprit n'apparaît dès lors ni dans la position commune du Conseil, ni dans la proposition modifiée de la Commission.

62.

Pour les raisons exposées ci-après, et afin d'aider à dégager un consensus, le CEPD préconise de conserver l'esprit de l'amendement 121. Il suggère en outre d'inclure un amendement visant à mieux préciser les types de services couverts par le champ d'application élargi.

63.

Les réseaux privés permettent souvent de fournir des services de communications électroniques, tels que l'accès à internet, par un nombre de personnes indéfini potentiellement important. C'est le cas, notamment, de l'accès à internet dans les cybercafés et les points Wi-Fi des hôtels, restaurants, aéroports, trains et autres lieux accessibles au public, où il est fréquent de proposer ce type de service en plus d'autres services (boissons, hébergement, etc.).

64.

Dans tous ces cas, un service de communications, ici l'accès à internet, est mis à la disposition du public non par un réseau public, mais plutôt par ce qui peut être considéré comme un réseau privé, c'est-à-dire un réseau exploité de manière privée. Par ailleurs, bien que dans les exemples cités plus haut, ce service soit proposé au public, il est possible de soutenir que comme le type de réseau utilisé est privé et non public, la directive «vie privée et communications électroniques» ne s'applique pas, en tout ou partie, à la fourniture de ces services (16). Il en découle que, dans une telle situation, les droits fondamentaux des personnes garantis par la directive «vie privée et communications électroniques» ne sont pas protégés, et que les utilisateurs accédant à internet par des moyens de télécommunications publics se trouvent dans une situation juridique différente de ceux qui ont accès à internet via des réseaux privés, et ce malgré le fait que ces différents cas de figure exposent la protection de la vie privée et des données à caractère personnel aux mêmes risques que le service soit fourni par le biais de réseaux publics ou privés. Rien ne semble donc justifier de prévoir un traitement différent au niveau de la directive selon que les services de communications soient fournis par le biais d'un réseau privé ou d'un réseau public.

65.

Par conséquent le CEPD appuierait un amendement, tel que l'amendement 121 du PE, en vertu duquel la directive «vie privée et communications électroniques» s'appliquerait également au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux privés de communications.

66.

Le CEPD est conscient, toutefois, qu'une telle formulation pourrait avoir des conséquences imprévisibles, voire indésirables. En effet, la seule mention des réseaux privés pourrait être interprétée de manière à couvrir des situations auxquelles, de toute évidence, la directive n'est pas destinée à s'appliquer. Par exemple, bien que l'amendement 121 ne prévoie pas une telle interprétation, on pourrait défendre le point de vue selon lequel une interprétation littérale ou stricte de ce texte étendrait le champ d'application de la directive aux propriétaires d'un bien immobilier équipé d'une installation Wi-Fi (17) permettant à quiconque se trouvant à portée (en principe, dans l'immeuble en question) de se connecter. Pour éviter une telle lecture, le CEPD suggère de reformuler l'amendement 121 afin d'étendre le champ d'application de la directive «vie privée et communications électroniques» au «traitement des données à caractère personnel dans le cadre de la fourniture de services de télécommunications électroniques accessibles au public sur les réseaux de communications publics ou sur les réseaux privés accessibles au public dans la Communauté,…»

67.

Une telle formulation aiderait à mettre en évidence que seuls les réseaux privés accessibles au public entreraient dans le champ d'application de la directive «vie privée et communications électroniques». Le fait de n'appliquer les dispositions de cette directive qu'aux seuls réseaux privés accessibles au public (et non à tous les réseaux privés), en limite le champ d'application et garantit que ladite directive ne concernera que les services de communication fournis par des réseaux privés volontairement rendus accessibles au public. Cette formulation contribuera en outre à souligner que l'accessibilité du réseau privé au public en général est un élément clé (en plus de la fourniture d'un service de communications accessible au public) pour déterminer si la directive s'applique ou non. En d'autres termes et indépendamment de sa nature publique ou privée, un réseau volontairement mis à la disposition du public afin de fournir un service de communications accessible au public, comme un accès à internet, y compris si un tel service s'ajoute à un autre (par exemple, un hébergement à l'hôtel), relèverait, ainsi que ce type de service, de la directive «vie privée et communications électroniques».

68.

Le CEPD note que l'approche préconisée plus haut, selon laquelle les dispositions de la directive «vie privée et communications électroniques» s'appliquent aux réseaux privés accessibles au public correspond aux positions adoptées dans plusieurs États membres, dont les autorités ont déjà estimé que des services de ce type, ainsi que les services fournis dans le cadre de réseaux totalement privés, relevaient des dispositions nationales mettant en œuvre la directive «vie privée et communications électroniques» (18).

69.

Afin d'améliorer la sécurité juridique concernant les entités couvertes par le nouveau champ d'application, il peut être utile de modifier la directive «vie privée et communications électroniques» de manière à y insérer une définition des «réseaux privés accessibles au public», qui pourrait être formulée comme suit: «par réseau privé accessible au public, on entend un réseau exploité de manière privée auquel le public en général a, d'ordinaire, un accès illimité, que ce soit moyennant paiement ou conjointement avec d'autres services ou offres, sous réserve d'acceptation des conditions applicables.»

70.

En pratique, une telle approche impliquerait que les réseaux privés des hôtels et autres établissements fournissant au public en général un accès à internet entreraient dans le champ d'application de la directive. Par contre, la fourniture de services de communications par le biais de réseaux totalement privés, dans le cadre desquels ce service est réservé à un nombre limité de personnes données, ne serait pas couverte. Par conséquent, les réseaux privés virtuels et les domiciles de consommateurs équipés d'une installation Wi-Fi, par exemple, ne relèveraient pas de la directive, pas plus que les services fournis dans le cadre de réseaux d'entreprise purement professionnels.

71.

L'exclusion des réseaux privés proprement dits devrait, comme on l'a suggéré plus haut, être considérée comme une mesure provisoire dont il conviendrait de continuer à débattre. En effet, étant donné les incidences sur la protection de la vie privée de l'exclusion des réseaux purement privés en tant que tels, d'une part, et le fait qu'une telle exclusion affecte directement le grand nombre de personnes qui ont habituellement accès à internet grâce à un réseau d'entreprise, d'autre part, il sera peut-être nécessaire, à l'avenir de réexaminer cette décision. C'est pourquoi le CEPD recommande, également dans un souci d'encourager le débat sur cette question, d'insérer un considérant dans la directive «vie privée et communications électroniques» selon lequel la Commission organiserait une consultation publique sur l'application de la directive «vie privée et communications électroniques» à tous les réseaux privés, avec la participation du CEPD, des autorités chargées de la protection des données et de toutes les autres parties concernées. Ce considérant pourrait en outre préciser qu'à la suite de cette consultation publique, la Commission serait invitée à faire toute proposition utile pour étendre ou limiter le type d'entités auxquelles devraient s'appliquer la directive «vie privée et communications électroniques».

72.

Par ailleurs, les différents articles de la directive «vie privée et communications électroniques» devraient être modifiés en conséquence, de manière à ce que toutes les dispositions opérationnelles mentionnent explicitement les réseaux privés accessibles au public, en plus des réseaux publics.

73.

Au cours de la procédure législative relative au réexamen de la directive «vie privée et communications électroniques», les entreprises fournissant des services de sécurité ont affirmé qu'il était nécessaire de prévoir, dans cette directive, une disposition rendant légitime la collecte de données relatives au trafic afin de réellement garantir la sécurité en ligne.

74.

Par conséquent, le PE a introduit l'amendement 181, qui prévoit un nouvel article 6, paragraphe 6 bis, autorisant explicitement le traitement des données relatives au trafic à des fins de sécurité: «Sans préjudice du respect des dispositions autres que celles figurant à l'article 7 de la directive 95/46/CE et à l'article 5 de la présente directive, les données relatives au trafic peuvent être traitées dans l'intérêt légitime du contrôleur de données à des fins de mise en œuvre de mesures techniques propres à garantir la sécurité des réseaux et de l'information, au sens de l'article 4, point c), du règlement (CE) no 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information, d'un service public de communications électroniques, d'un réseau public ou privé de communications électroniques, d'un service de la société de l'information ou de tout équipement terminal et de communication électronique y afférent, sauf lorsque les droits fondamentaux et les libertés de la personne concernée prévalent sur ledit intérêt. Ce traitement se limite au strict nécessaire pour l'accomplissement de ce type d'action de sécurité».

75.

Dans sa proposition modifiée, la Commission a accepté le principe de cet amendement, mais a supprimé une clause essentielle pour le respect des autres dispositions de la directive, à savoir le premier membre de phrase - «Sans préjudice […] de la présente directive» — Le Conseil a adopté une version remaniée qui fragilise encore un peu plus les protections et l'équilibre des intérêts dont l'amendement 181 reconnaît toute l'importance, formulée comme suit: «Les données relatives au trafic peuvent être traitées dans la mesure strictement nécessaire pour garantir la sécurité des réseaux et de l'information, au sens de l'article 4, point c), du règlement (CE) no 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information.»

76.

Comme on l'expliquera ci-après, l'article 6, paragraphe 6 bis, est inutile et présente des risques d'utilisation abusive, en particulier s'il est adopté sous une forme ne prévoyant ni les garanties importantes, ni les clauses de respect des autres dispositions de la directive, ni l'équilibre des intérêts. Dès lors, le CEPD recommande que cet article soit rejeté, ou au moins, que l'on veille à ce que tout article relatif à cette question prévoie des garanties du type de celles contenues dans l'amendement 181 adopté par le PE.

77.

La mesure dans laquelle les fournisseurs de services de communications électroniques accessibles au public peuvent procéder légalement au traitement des données relatives au trafic est réglementée par l'article 6 de la directive «vie privée et communications électroniques», qui limite le traitement de ce type de données à un nombre restreint de finalités, telles la facturation, l'interconnexion et la prospection. Ce traitement ne peut avoir lieu qu'à certaines conditions, par exemple, dans le cas de la prospection, le consentement des intéressés. En outre, d'autres responsables du traitement des données, tels les fournisseurs de services de la société de l'information, peuvent traiter des données relatives au trafic en vertu de l'article 7 de la directive sur la protection des données, qui prévoit que les responsables du traitement des données peuvent procéder au traitement de données à caractère personnel à condition de respecter au moins l'une des bases juridiques énumérées, également citées comme motifs légaux.

78.

À titre d'exemple d'une telle base juridique, on peut citer l'article 7, point a), de la directive sur la protection des données, qui requiert le consentement de la personne concernée. Ainsi, si un détaillant en ligne souhaite procéder au traitement de données relatives au trafic à des fins d'envoi publicitaire ou de prospection, il doit obtenir le consentement de la personne concernée. Une autre base juridique citée à l'article 7 permet, dans certains cas, le traitement de données relatives au trafic à des fins de sécurité par, entre autres, des entreprises fournissant des services de sécurité. Le fondement en est l'article 7, point f), qui établit que les responsables des données peuvent effectuer le traitement de données à caractère personnel si ce traitement est «nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée […]». La directive sur la protection de la vie privée ne précise pas dans quels cas le traitement de données à caractère personnel répond à cette exigence. Ce sont donc les responsables du traitement des données qui prennent la décision, au cas par cas et souvent avec l'accord des autorités nationales chargées de la protection des données et d'autres autorités compétentes.

79.

Il conviendrait d'examiner l'action conjuguée de l'article 7 de la directive sur la protection de la vie privée et de la proposition d'article 6, paragraphe 6 bis, de la directive «vie privée et communications électroniques». L'article 6, paragraphe 6 bis, proposé précise dans quelles situations les exigences énoncées à l'article 7, point f), décrites plus haut seraient respectées. En effet, en autorisant le traitement des données relatives au trafic afin de garantir la sécurité des réseaux et de l'information, l'article 6, paragraphe 6 bis, permet un tel traitement pour la réalisation de l'intérêt légitime poursuivi par le responsable du traitement des données.

80.

Comme le CEPD l'explique ci-après, il estime que l'article 6, paragraphe 6 bis, proposé n'est ni nécessaire ni utile. En effet, d'un point de vue juridique, il est en principe inutile d'établir si un type particulier de traitement des données, dans ce cas-ci, le traitement des données relatives au trafic à des fins de sécurité, est conforme ou non aux exigences de l'article 7, point f), de la directive sur la protection de la vie privée, auquel cas le consentement de l'intéressé pourrait être requis en vertu de l'article 7, point a). Comme on l'a fait remarquer plus haut, ce sont généralement les responsables du traitement des données — c'est-à-dire les entreprises — qui décident si tel est le cas, au moment de la mise en œuvre, en consultation avec les autorités chargées de la protection des données, et s'il y a lieu, avec les tribunaux. De manière générale, le CEPD est d'avis que dans certains cas, le traitement légitime des données relatives au trafic à des fins de sécurité, effectué sans mettre en péril les droits et libertés fondamentaux des intéressés, est susceptible de respecter les exigences de l'article 7, point f), de la directive sur la protection des données, et peut dès lors être effectué. En outre, la directive sur la protection des données et la directive «vie privée et communications électroniques» ne prévoient aucun précédent d'exception ou de traitement particulier pour certains types de traitement des données qui satisferaient aux exigences de l'article 7, point f), et la nécessité de ce genre d'exception n'a pas non plus été démontrée. En revanche, comme on l'a observé plus haut, il apparaît que dans de nombreuses situations, ce type d'activité serait amplement couvert par le texte actuel. Par conséquent, une disposition légale confirmant cette évaluation est en principe inutile.

81.

Comme expliqué plus haut, bien que l'amendement 181 soit inutile, il importe de souligner que, dans la formulation adoptée par le PE, il a néanmoins été rédigé pour, d'une certaine manière, tenir compte des principes de protection de la vie privée et des données inscrits dans la législation relative à la protection des données. Cet amendement pourrait également porter sur la protection des données et l'intérêt de la vie privée, par exemple, si l'on y faisait figurer les termes «dans certains cas», afin de garantir l'application sélective de cet article, ou si l'on y prévoyait une période de conservation des données précise.

82.

L'amendement 181 comporte des éléments positifs. Il confirme que le traitement devrait respecter tous les autres principes de protection des données applicables au traitement des données à caractère personnel («Sans préjudice du respect des dispositions […] de la directive 95/46/CE et […] de la présente directive»). Par ailleurs, bien que cet amendement autorise le traitement de données relatives au trafic à des fins de sécurité, il parvient à assurer un équilibre entre les intérêts de l'entité qui effectue le traitement de ces données et ceux des personnes concernées, de telle manière que le traitement des données ne puisse avoir lieu que si les libertés et droits fondamentaux des intéressés ne sont pas bafoués par ceux de l'entité qui effectue le traitement des données («sauf lorsque les droits fondamentaux et les libertés de la personne concernée prévalent sur ledit intérêt»). Cette exigence est essentielle dans la mesure où elle peut permettre de traiter les données relatives au trafic dans certains cas particuliers, sans toutefois autoriser une entité à procéder au traitement de ces données en masse.

83.

Dans sa version remaniée par le Conseil, cet amendement comporte des éléments dignes d'intérêt, par exemple le fait de conserver les termes «strict nécessaire» qui limitent le champ d'application de cet article. Cependant, la version du Conseil supprime les garanties visées plus haut en matière de protection de la vie privée et des données. Alors qu'en principe, les dispositions générales en matière de protection des données s'appliquent, qu'une mention spécifique soit faite dans chaque cas ou non, la version du Conseil peut néanmoins être interprétée comme donnant aux entités tout pouvoir discrétionnaire de procéder au traitement de données relatives au trafic sans avoir à respecter les garanties en matière de protection des données et de la vie privée qui s'appliquent chaque fois que des données relatives au trafic sont traitées. Dès lors, on peut affirmer que les données relatives au trafic pourraient être collectées, conservées et utilisées par la suite sans qu'il faille respecter les principes de protection des données et les obligations particulières qui s'appliquent par ailleurs aux parties responsables, comme le principe de qualité ou l'obligation de procéder à un traitement licite et loyal et d'assurer la confidentialité et la sécurité des données. De plus, comme cet article ne fait aucune mention des principes de protection des données applicables qui imposent des délais de conservation des informations ou des délais spécifiques, la version du Conseil pourrait être interprétée comme permettant la collecte et le traitement des données relatives au trafic à des fins de sécurité pour une période illimitée.

84.

En outre, le Conseil a fragilisé les protections de la vie privée qui figuraient dans certaines parties du texte en donnant une portée potentiellement plus large à la formulation. Par exemple, la référence à «l'intérêt légitime du contrôleur des données» a été supprimée, ce qui sème le doute sur le type d'entité qui pourrait se prévaloir de cette exception. Il est crucial d'éviter que n'importe quel utilisateur ou n'importe quelle entité juridique ne puisse tirer parti de cet amendement.

85.

Ce qui s'est passé récemment au PE et au Conseil montre qu'il est difficile de définir juridiquement dans quelle mesure et à quelles conditions le traitement des données à des fins de sécurité peut être effectué légalement. Aucun article, actuel ou futur, ne semble susceptible d'éliminer les risques évidents d'une interprétation excessivement large de l'exception pour des raisons autres que purement liées à la sécurité ou par des entités qui ne devraient pas pouvoir en bénéficier. Il ne s'agit pas d'en conclure qu'un tel traitement est interdit dans tous les cas. Toutefois, il semble préférable que l'opportunité et les limites d'un tel traitement soient évaluées au niveau de la mise en œuvre. Les entités qui souhaitent procéder à de tels traitements devraient en examiner la portée et les conditions avec les autorités chargées de la protection des données, et éventuellement, avec le groupe «Article 29». Sinon, la directive «vie privée et communications électroniques» pourrait prévoir un article permettant le traitement des données relatives au trafic à des fins de sécurité sous réserve d'une autorisation expresse des autorités chargées de la protection des données.

86.

Compte tenu, d'une part, des risques que présente l'article 6, paragraphe 6 bis, pour le droit fondamental à la protection des données et de la vie privée des personnes, et d'autre part, du fait que, comme on l'a expliqué dans le présent avis, cet article est inutile d'un point de vue juridique, le CEPD conclut que la meilleure solution serait la suppression pure et simple de l'article 6, paragraphe 6 bis, proposé.

87.

Si un texte dans l'esprit d'une des versions actuelles de l'article 6, paragraphe 6 bis, est adopté contre l'avis du CEPD, il devrait en tout cas prévoir les garanties en matière de protection des données dont il a été question plus haut. Ce texte devrait en outre être correctement inséré dans la structure actuelle de l'article 6, de préférence sous la forme d'un nouveau paragraphe 2 bis.

88.

Le PE a voté l'amendement 133 permettant aux fournisseurs d'accès internet et aux autres entités juridiques, telles les associations de consommateurs, d'intenter des actions en justice en cas de violation des dispositions de la directive «vie privée et communications électroniques» (19). Malheureusement, ni la Commission, ni le Conseil ne l'ont accepté. Le CEPD considère que cet amendement est très positif et recommande de le conserver.

89.

Pour bien saisir l'importance de cet amendement, il faut comprendre que dans le domaine de la protection de la vie privée et des données, le préjudice subi par une personne donnée ne suffit généralement pas à pousser celle-ci à faire appel aux tribunaux. La plupart du temps, les personnes concernées n'intentent pas d'action en justice de leur propre initiative après avoir reçu des pourriels ou vu leur nom inclus à tort dans un fichier. Cet amendement permettrait aux associations de consommateurs et aux syndicats qui défendent les intérêts des consommateurs à un niveau collectif d'intenter une action en justice en leur nom. Une plus grande diversité de mécanismes répressifs pourrait aussi favoriser un meilleur niveau de respect et donc être dans l'intérêt d'une application efficace et effective des dispositions de la directive «vie privée et communications électroniques».

90.

Il existe des précédents juridiques dans les cadres législatifs de certains États membres qui prévoient déjà la possibilité d'un recours collectif afin de permettre aux consommateurs ou aux groupes d'intérêt de réclamer des dommages à la partie responsable du préjudice.

91.

De plus, dans certains États membres, le droit de la concurrence (20) autorise les consommateurs, les groupes d'intérêt, outre le concurrent concerné, à intenter une action en justice à l'encontre de l'entité qui commet l'infraction. Une telle approche se justifie par le risque de voir les compagnies violant le droit de la concurrence profiter de ce que les consommateurs qui ne subissent que des dommages marginaux sont en général peu disposés à engager des poursuites. Ce raisonnement peut s'appliquer, mutatis mutandis, au domaine de la protection des données et de la vie privée.

92.

Plus important encore, permettre, comme on l'a mentionné plus haut, à des entités juridiques, telles les associations de consommateurs et les FSCEP, d'intenter une action en justice renforce la position des consommateurs et favorise le respect général de la législation sur la protection des données. Si le risque de poursuites judiciaires est plus élevé pour les compagnies qui violent le droit, il est probable que celles-ci investiront davantage pour se conformer la législation relative à la protection des données, ce qui à long terme améliorera le niveau de protection de la vie privée et des consommateurs. Pour toutes ces raisons, le CEPD invite le PE et le Conseil à adopter une disposition permettant aux entités juridiques de poursuivre en justice toute infraction aux dispositions de la directive «vie privée et communications électroniques».

93.

La position commune du Conseil, la première lecture du PE et la proposition modifiée de la Commission comportent, à des degrés divers, des éléments positifs qui pourraient renforcer la protection de la vie privée des personnes et de leurs données à caractère personnel.

94.

Le CEPD estime toutefois qu'il est possible d'améliorer ces textes, notamment la position commune du Conseil, qui n'a malheureusement pas conservé certains amendements du PE visant à garantir une protection adéquate de la vie privée et des données à caractère personnel. Le CEPD engage le PE et le Conseil à rétablir les garanties en matière de protection de la vie privée qui figuraient dans la première lecture du PE.

95.

Par ailleurs, le CEPD est d'avis qu'il serait opportun de simplifier certaines dispositions de la directive. Il considère, en particulier, que les dispositions portant sur la notification des violations de la sécurité ne porteront tous leurs fruits que si le cadre législatif est correctement mis en place dès le départ. Enfin, selon le CEPD, il conviendrait d'améliorer et de clarifier la formulation de certaines dispositions de la directive.

96.

Au vu de ce qui précède, le CEPD engage le PE et le Conseil à mettre davantage en œuvre pour améliorer et clarifier certaines dispositions de la directive «vie privée et communications électroniques» tout en rétablissant les amendements adoptés par le PE en première lecture visant à garantir un niveau approprié de protection de la vie privée et des données. À cette fin, les points 97 à 100 figurant ci-après résument les problèmes qui se posent et avancent certaines recommandations et propositions de libellés. Le CEPD invite toutes les parties concernées à en tenir compte au cours du processus menant à l'adoption de la directive «vie privée et communication électroniques».

97.

Le PE, la Commission et le Conseil n'ont pas adopté la même approche en matière de notification des violations de la sécurité. Les trois systèmes présentent des différences notamment pour ce qui est des entités concernées par l'obligation de notification, le critère de déclenchement de l'obligation de notification, les personnes concernées destinataires de la notification etc. Le PE et le Conseil doivent s'efforcer d'établir un cadre législatif solide pour lutter contre les violations de la sécurité. À cette fin, le PE et le Conseil devraient:

98.

Les services de communication sont souvent mis à la disposition du public non par le biais de réseaux publics, mais au moyen de réseaux exploités de manière privée (par exemple, les accès Wi-Fi des hôtels ou des aéroports), dont on peut soutenir qu'ils ne sont pas couverts par la directive. Le PE a adopté l'amendement 121 (article 3) élargissant le champ d'application de la directive pour y inclure les réseaux de communication publics et privés, ainsi que les réseaux privés accessibles au public. À cette fin, le PE et le Conseil devraient:

99.

Le PE a adopté en première lecture l'amendement 181 (article 6, paragraphe 6 bis) qui autorise le traitement des données relatives au trafic à des fins de sécurité. La position commune du Conseil en a adopté une nouvelle version qui affaiblit certaines des garanties en matière de protection de la vie privée. À cet égard, le CEPD recommande au PE et au Conseil:

100.

Le PE a adopté l'amendement 133 (article 13, paragraphe 6) permettant aux entités juridiques d'intenter une action en justice en cas d'infraction aux dispositions de la directive. Malheureusement, le Conseil n'a pas conservé cet amendement. Le Conseil et le PE devraient:

101.

Pour toutes les questions ci-dessus, le PE et le Conseil doivent relever le défi qui consiste à définir des règles et des dispositions adéquates, qui soient pratiques, opérationnelles, et respectueuses des droits en matière de vie privée des personnes et de protection des données. Le CEPD a bon espoir que les parties concernées mettront tout en œuvre pour relever ce défi et que le présent avis contribuera utilement à la réalisation de cette tâche.

6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/42

1.

Le 13 novembre 2008, la Commission a adopté une proposition de directive du Conseil faisant obligation aux États membres de maintenir un niveau minimal de stocks de pétrole brut et/ou de produits pétroliers (ci-après dénommée «la proposition») (3).

2.

Cette proposition vise à assurer un niveau élevé de sécurité des approvisionnements en pétrole dans la Communauté grâce à des mécanismes fiables et transparents fondés sur la solidarité entre les États membres, à maintenir un niveau minimal de stocks de pétrole ou de produits pétroliers ainsi qu'à mettre en place les moyens procéduraux nécessaires pour remédier à une pénurie grave éventuelle.

3.

Le 14 novembre 2008, la Commission a transmis la proposition au CEPD pour consultation, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD se félicite d'être consulté à ce sujet et recommande qu'il soit fait référence à cette consultation dans les considérants de la proposition, conformément à l'article 28 du règlement (CE) no 45/2001.

4.

Préalablement à l'adoption de la proposition, la Commission a consulté le CEPD de façon informelle sur un article précis du projet de proposition (l'actuel article 19). Le CEPD s'est félicité de cette consultation informelle puisque cela lui a donné la possibilité de formuler certaines suggestions avant l'adoption de la proposition par la Commission.

5.

La question examinée montre bien qu'il faudrait toujours être sensible aux règles relatives à la protection des données. Dans une situation qui concerne les États membres et leur obligation de maintenir des stocks de pétrole de sécurité, lesquels sont surtout détenus par des personnes morales, il peut ne pas paraître évident que l'on traite des données à caractère personnel, mais, même si ce traitement n'est pas envisagé en tant que tel, cela peut néanmoins être le cas. Il faudrait en tout cas envisager la probabilité qu'il y ait traitement de données à caractère personnel.

6.

Dans l'état actuel des choses, la directive mentionne fondamentalement deux activités susceptibles d'entraîner un traitement des données à caractère personnel. La première est la collecte par les États membres d'informations concernant les stocks pétroliers et leur communication à la Commission. La seconde activité est liée au pouvoir de la Commission d'engager des actions de contrôle dans les États membres. La collecte d'informations concernant les propriétaires de stocks pétroliers est susceptible d'inclure des données à caractère personnel, comme les noms et les coordonnées des dirigeants des sociétés. Cette collecte, ainsi que la communication des données à la Commission, constituerait un traitement de données à caractère personnel et il y aurait donc lieu d'appliquer soit la législation nationale transposant les dispositions de la directive 95/46/CE soit le règlement (CE) no 45/2001, en fonction de l'autorité qui se charge effectivement du traitement des données. Par ailleurs, le fait d'accorder à la Commission le pouvoir d'engager dans les États membres des actions de contrôle concernant les stocks de sécurité, et donc le pouvoir de collecter des informations de manière générale, pourrait entraîner la collecte et, par conséquent, le traitement de données à caractère personnel et agir en conséquence.

7.

Lors de la consultation informelle, qui portait uniquement sur la disposition relative au pouvoir d'investigation de la Commission, le CEPD a conseillé à la Commission d'établir si le traitement de données à caractère personnel dans le cadre d'une action de contrôle menée par la Commission ne serait qu'accidentel ou aurait lieu de manière régulière et servirait aux fins de l'investigation. Compte tenu du résultat de cette évaluation, le CEPD a proposé deux solutions.

8.

Dans l'hypothèse où il ne serait pas envisagé de traiter des données à caractère personnel et où ce traitement ne serait donc que purement accidentel, le CEPD a recommandé, d'une part, d'exclure explicitement que le traitement de données à caractère personnel puisse être utilisé aux fins des contrôles menés par la Commission. Il a d'autre part recommandé de préciser que les données à caractère personnel que la Commission trouverait au cours de ses investigations ne puissent être ni collectées ni prises en compte et, en cas de collecte accidentelle, qu'elles soient immédiatement détruites. Le CEPD a par ailleurs proposé d'ajouter une disposition supplémentaire de portée générale établissant que la directive ne porte pas atteinte aux règles relatives à la protection des données telles qu'établies dans la directive 95/46/CE et dans le règlement (CE) no 45/2001.

9.

Par contre, dans l'hypothèse où il serait prévu que les données seront traitées de manière régulière dans le cadre des contrôles menés par la Commission, le CEPD a recommandé à cette dernière d'introduire des dispositions montrant que les exigences de la protection des données sont dûment prises en compte. Ces dispositions devraient comprendre les éléments suivants: (I) la véritable finalité du traitement des données, (II) la nécessité du traitement des données au vu de cette finalité et (III) la proportionnalité du traitement des données.

10.

Même si l'avis informel du CEPD ne concernait que le pouvoir d'investigation de la Commission, ses observations valaient tout autant pour l'autre activité principale exposée dans la directive proposée, c'est-à-dire la collecte d'informations par les États membres et leur communication à la Commission.

11.

La version finale de la proposition de directive montre clairement que la Commission est arrivée à la conclusion que, dans le cadre de cette directive, aucun traitement de données à caractère personnel n'est envisagé. Le CEPD se félicite de constater que la proposition reflète entièrement la première solution qu'il avait proposée.

12.

Par conséquent, le CEPD soutient la manière dont la Commission a assuré le respect des règles relatives à la protection des données dans la directive proposée et il se bornera, dans la suite du présent avis, à émettre des recommandations sur des points précis.

13.

L'article 15 de la directive proposée concerne l'obligation faite aux États membres de communiquer à la Commission un relevé statistique hebdomadaire portant sur les niveaux des stocks commerciaux détenus sur leur territoire national. Ces relevés ne contiendront normalement que peu de données à caractère personnel. Ils pourraient cependant contenir des informations sur les personnes physiques qui sont propriétaires des stocks de pétrole ou qui travaillent pour une personne morale propriétaire d'un stock. Afin d'empêcher les États membres de fournir de telles informations à la Commission, l'article 15, paragraphe 1, établit que s'ils le font, les États membres doivent s'abstenir de «faire mention des noms des propriétaires des stocks en question». S'il est vrai que le fait de retirer un nom n'empêchera pas forcément de remonter jusqu'à une personne physique, il semble que, dans l'état actuel des choses (relevés statistiques portant sur les niveaux des stocks de pétrole), la précision en question soit suffisante pour garantir qu'aucune donnée à caractère personnel ne sera transmise à la Commission.

14.

L'article 19 de la directive proposée régit le pouvoir d'investigation de la Commission. Cet article montre bien que la Commission a opté pour la première solution expliquée au point 8. Il établit que le traitement de données à caractère personnel ne peut faire partie des contrôles menés par la Commission. Et même si la Commission trouve de telles données, ces dernières ne peuvent être prises en compte et doivent être détruites en cas de collecte accidentelle. Afin d'aligner la formulation sur celle de la législation sur la protection des données et d'éviter tout malentendu, le CEPD recommande de remplacer le terme «collecte» à la première phrase du paragraphe 2 par le terme «traitement».

15.

Le CEPD constate avec satisfaction que la proposition contient également une disposition supplémentaire de portée générale sur la législation relative à la protection des données. L'article 20 rappelle clairement aux États membres ainsi qu'à la Commission et aux autres organes communautaires les obligations qui leur sont imposées, selon le cas, par la directive 95/46/CE et le règlement (CE) no 45/2001. Cette disposition souligne par ailleurs les droits des personnes concernées en vertu de ces règles, comme le droit de s'opposer au traitement des données les concernant, le droit d'accès à ces données et le droit de les faire rectifier en cas d'inexactitude. On pourrait peut-être émettre un commentaire quant à l'emplacement de cette disposition dans la proposition. En raison de sa nature générale, elle ne se limite pas seulement au pouvoir d'investigation de la Commission. Par conséquent, le CEPD recommande de déplacer cet article et de l'insérer dans la première partie de la directive, par exemple après l'article 2.

16.

Le considérant 25 fait également référence à la directive 95/46/CE et au règlement (CE) no 45/2001. L'objectif de ce considérant n'est toutefois pas très clair dans la mesure où il ne fait mention que de la législation sur la protection des données en tant que telle, sans autres précisions. Ce considérant devrait à l'évidence indiquer que les dispositions de la directive ne portent pas atteinte à la législation mentionnée. Par ailleurs, la dernière phrase de ce considérant semble impliquer que la législation sur la protection des données oblige explicitement les responsables du traitement à détruire immédiatement les données collectées de manière accidentelle. Bien qu'il puisse s'agir d'une conséquence des règles établies, une telle obligation ne figure pas dans la législation en question. Selon un principe général de la protection des données, les données à caractère personnel ne peuvent être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été collectées et ne peuvent être traitées ultérieurement. Si la première partie du considérant est modifiée dans le sens proposé ci-dessus, la dernière phrase devient superflue. Par conséquent, le CEPD propose de supprimer la dernière phrase du considérant 25.

17.

Le CEPD souhaite exprimer son soutien à la manière dont la Commission a assuré le respect des règles relatives à la protection des données dans la directive proposée.

18.

De manière plus détaillée, le CEPD formule les recommandations ci-après:

6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/45

6.6.2009   

FR

Journal officiel de l'Union européenne

C 128/46