ISSN 1977-0936
doi:10.3000/19770936.C_2012.147.fra
Journal officiel
de l'Union européenne
C 147
Édition de langue française
Communications et informations
55e année
25 mai 2012
|
ISSN 1977-0936 doi:10.3000/19770936.C_2012.147.fra |
||
|
Journal officiel de l'Union européenne |
C 147 |
|
|
|
||
|
Édition de langue française |
Communications et informations |
55e année |
|
Numéro d'information |
Sommaire |
page |
|
|
I Résolutions, recommandations et avis |
|
|
|
AVIS |
|
|
|
Contrôleur européen de la protection des données |
|
|
2012/C 147/01 |
||
|
|
II Communications |
|
|
|
COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE |
|
|
|
Commission européenne |
|
|
2012/C 147/02 |
Autorisation des aides d'État dans le cadre des dispositions des articles 107 et 108 du TFUE — Cas à l'égard desquels la Commission ne soulève pas d'objection ( 1 ) |
|
|
|
IV Informations |
|
|
|
INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE |
|
|
|
Commission européenne |
|
|
2012/C 147/03 |
||
|
|
V Avis |
|
|
|
PROCÉDURES ADMINISTRATIVES |
|
|
|
Commission européenne |
|
|
2012/C 147/04 |
||
|
|
|
|
|
(1) Texte présentant de l'intérêt pour l'EEE |
|
FR |
|
I Résolutions, recommandations et avis
AVIS
Contrôleur européen de la protection des données
|
25.5.2012 |
FR |
Journal officiel de l'Union européenne |
C 147/1 |
Avis du contrôleur européen de la protection des données sur les propositions de la Commission relatives à une directive du Parlement européen et du Conseil concernant les marchés d’instruments financiers abrogeant la directive 2004/39/CE du Parlement européen et du Conseil et à un règlement du Parlement européen et du Conseil concernant les marchés d’instruments financiers modifiant le règlement sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux
2012/C 147/01
LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,
vu le traité sur le fonctionnement de l’Union européenne et notamment son article 16,
vu la Charte des droits fondamentaux de l’Union européenne et notamment ses articles 7 et 8,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),
vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 28, paragraphe 2,
A ADOPTÉ L’AVIS SUIVANT:
1. INTRODUCTION
1.1. Consultation du CEPD
|
1. |
Le présent avis fait partie d’un ensemble de 4 avis rendus le même jour par le CEPD au sujet du secteur financier (3). |
|
2. |
Le 20 octobre 2011, la Commission a adopté une proposition de directive du Parlement européen et du Conseil concernant les marchés d’instruments financiers abrogeant la directive 2004/39/CE du Parlement européen et du Conseil (4) (ci-après «la directive proposée») et un règlement du Parlement européen et du Conseil concernant les marchés d’instruments financiers modifiant le règlement (EMIR) sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (le «règlement proposé») (les deux textes étant ci-après collectivement dénommés «les propositions»). |
|
3. |
Le CEPD a été consulté de manière informelle avant l’adoption des propositions. Il constate que plusieurs de ses observations ont été prises en considération dans les propositions. |
1.2. Objectif et portée des propositions
|
4. |
La directive concernant les marchés d’instruments financiers («la directive MIFID»), en vigueur depuis novembre 2007, est l’un des piliers majeurs de l’intégration des marchés financiers de l’UE. Elle est actuellement composée d’une directive cadre (directive 2004/39/CE), d’une directive d’exécution (directive 2006/73/CE) et d’un règlement d’exécution [règlement (CE) no 1287/2006]. |
|
5. |
La directive MIFID définit un cadre réglementaire pour la prestation de services d’investissement concernant des instruments financiers (comme le courtage, le conseil, la négociation, la gestion de portefeuilles, la prise ferme, etc.) par des banques et des entreprises d’investissement et pour l’exploitation des marchés réglementés par des opérateurs de marché. Elle établit également les pouvoirs et obligations des autorités nationales compétentes par rapport à ces activités. Concrètement, elle supprime la possibilité pour les États membres d’exiger que toutes les négociations concernant les instruments financiers se déroulent uniquement sur des bourses spécifiques et permet la concurrence à l’échelle européenne entre ces bourses et d’autres plates-formes de négociation. |
|
6. |
Plus de trois ans après son entrée en vigueur, il y a plus de concurrence entre les plates-formes de négociation des instruments financiers et plus de choix pour les investisseurs en termes de prestataires de services et d’instruments financiers. Toutefois, différents problèmes sont également apparus. Par exemple, les avantages de cette concurrence accrue n’ont pas bénéficié de manière équivalente à tous les acteurs des marchés et ne se sont pas toujours répercutés sur les investisseurs finaux, qu’ils soient de détail ou de gros; du fait de l’évolution du marché et des technologies, plusieurs dispositions de la directive MIFID sont dépassées et, enfin, la crise financière a mis au jour des faiblesses dans la réglementation de certains instruments. |
|
7. |
La révision de la directive MIFID a pour objectif d’adapter et de mettre à jour les règles actuelles en fonction de l’évolution du marché, et notamment de la crise financière et du développement technologique, ainsi que d’améliorer leur efficacité. |
1.3. But de l’avis du CEPD
|
8. |
Plusieurs aspects des propositions ont des incidences sur les droits des personnes en ce qui concerne le traitement de leurs données à caractère personnel. Ces incidences sont les suivantes: 1) obligations en matière d’enregistrement et de déclaration des transactions; 2) pouvoirs des autorités compétentes (en ce compris le pouvoir d’effectuer des contrôles et d’exiger les enregistrements d'échanges téléphoniques et de données); 3) publication des sanctions; 4) notification des violations, et en particulier, les dispositions relatives à la dénonciation; 5) coopération entre les autorités compétentes des États membres et l’AEMF. |
2. ANALYSE DES PROPOSITIONS
2.1. Applicabilité de la législation relative à la protection des données
|
9. |
Plusieurs considérants (5) des propositions mentionnent la Charte des droits fondamentaux, la directive 95/46/CE et le règlement (CE) no 45/2001. Il conviendrait toutefois d’inclure une référence à la législation applicable en matière de protection des données dans un article de fond des propositions. |
|
10. |
Comme exemple de la disposition de fond envisagée, citons l’article 22 de la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché (6), qui pose explicitement pour règle générale que la directive 95/46/CE et le règlement (CE) no 45/2001 s’appliquent au traitement de données à caractère personnel dans le cadre de la proposition. Le CEPD a récemment publié un avis au sujet de cette proposition dans lequel il se dit pleinement favorable à cette disposition générale. Il suggère néanmoins de clarifier la référence à la directive 95/46/CE en précisant que les dispositions s’appliqueront conformément aux règles nationales qui mettent en œuvre la directive 95/46/CE. |
|
11. |
Le CEPD propose dès lors d’ajouter une disposition de fond similaire à celle figurant dans l’article 22 de la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché (7), en tenant compte des suggestions qu’il a formulées au sujet de cette proposition (8), à savoir souligner l’applicabilité de la législation existante en matière de protection des données et clarifier la référence à la directive 95/46/CE en précisant que les dispositions s’appliqueront conformément aux règles nationales mettant en œuvre la directive 95/46/CE. |
|
12. |
Les considérants devraient également utiliser systématiquement l’expression «les États membres respectent», et non pas «les États membres devraient respecter» la législation pertinente en matière de protection des données, celle-ci étant en vigueur et son applicabilité n’étant pas laissée à l’appréciation des États membres. |
2.2. Obligations en matière d’enregistrement et de déclaration des transactions
2.2.1. Obligation aux termes du règlement proposé
|
13. |
Le considérant 27 et les articles 21 à 23 du règlement proposé introduisent le principe selon lequel les autorités compétentes, coordonnées par l’AEMF, doivent contrôler l’activité des entreprises d’investissement pour s’assurer qu’elles l’exercent d’une manière honnête, équitable, professionnelle et qui favorise l’intégrité du marché. Pour ce faire, les autorités devraient pouvoir identifier la personne ayant pris la décision d’investissement, ainsi que celles responsables de son exécution (considérant 28). |
|
14. |
Afin de mettre en œuvre cette activité de surveillance, l’article 22 exige des entreprises d’investissement qu’elles tiennent à la disposition des autorités compétentes, pour une durée minimale de cinq ans, les données pertinentes relatives à toutes les transactions sur instruments financiers qu’elles ont conclues. Parmi ces données figureront tous les renseignements relatifs à l’identité du client. Les informations relatives aux transactions sur instruments financiers doivent être transmises aux autorités compétentes afin que celles-ci puissent prévenir et détecter les cas potentiels d’abus de marché, s’assurer du fonctionnement équitable et ordonné des marchés et contrôler les activités des entreprises d’investissement. L’AEMF peut également demander à avoir accès à ces informations. |
|
15. |
Les entreprises d’investissement doivent déclarer aux autorités compétentes le détail de ces transactions, y compris l’identité des clients, le plus rapidement possible (article 23). Si les clients en question sont des personnes physiques, ces opérations impliquent le traitement de données à caractère personnel au sens de la directive 95/46/CE et du règlement (CE) no 45/2001 ainsi qu’éventuellement la création de bases de données générales. |
|
16. |
L’analyse d’impact ne semble pas inclure l’évaluation de la période de conservation de cinq ans prévue pour les déclarations de transactions. Comme le dispose l’article 6, paragraphe 1, point e), de la directive 95/46/CE, les données à caractère personnel ne peuvent pas être conservées pour une période excédant celle nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Afin de respecter cette disposition, le CEPD propose de remplacer la période de conservation minimale de cinq ans par une période de conservation maximale. La période choisie devrait être nécessaire et proportionnée par rapport aux finalités pour lesquelles les données ont été collectées. |
2.2.2. Obligation aux termes de la directive proposée
|
17. |
L’article 16 de la directive contient des exigences au niveau organisationnel applicables aux entreprises d’investissement. En particulier, les entreprises doivent s’assurer qu’un enregistrement de tous les services fournis et de toutes les transactions effectuées est conservé, ce qui permettrait aux autorités compétentes de s’assurer de la conformité avec les dispositions de la directive. Cet enregistrement permettrait de vérifier que l’entreprise d’investissement respecte bien les obligations relatives à ses clients ou clients potentiels. Bien que cela ne soit pas indiqué dans le texte, il est à supposer que ces données contiendraient des données à caractère personnel relatives aux clients et aux employés. |
|
18. |
La Commission est habilitée par l’article 16, paragraphe 12, à adopter des actes délégués pour établir les mesures organisationnelles concrètes visées par ledit article. À cet égard, le CEPD invite la Commission à le consulter au moment d’adopter ces actes délégués. Quoi qu’il en soit, ces mesures devraient avoir pour objectif de réduire au minimum la conservation et le traitement de données à caractère personnel qui doivent être enregistrées par les entreprises d’investissement. Comme déjà indiqué au sujet du règlement, la Commission devrait également évaluer soigneusement la période de conservation qu’il convient de fixer pour ces données, afin de veiller à ce que la conservation soit adéquate et proportionnée. |
2.3. Obligation d’enregistrement des conversations téléphoniques ou communications électroniques
|
19. |
Aux termes de la directive proposée, les conversations téléphoniques ou communications électroniques doivent être enregistrées. |
|
20. |
Les enregistrements de conversations téléphoniques ou de communications électroniques contiennent généralement des données à caractère personnel concernant les parties à la communication, bien qu’elles portent sur des transactions financières ou sur des activités professionnelles. Les données relatives aux communications électroniques peuvent contenir toutes sortes d’informations à caractère personnel, notamment des données relatives au trafic, mais aussi des informations sur le contenu des communications. En outre, l’utilisation du terme «conversation» suppose que le contenu des communications sera enregistré. |
|
21. |
En ce qui concerne les données à caractère personnel au sens de la directive 95/46/CE et du règlement (CE) no 45/2001, les principales règles en matière de protection des données s’appliquent, et en particulier les principes de limitation de la finalité, de nécessité et de proportionnalité, ainsi que l’interdiction de conserver les données plus longtemps que nécessaire. |
|
22. |
Aux termes de l’article 6, paragraphe 1, point b), de la directive 95/46/CE, les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. |
|
23. |
L’article 16, paragraphe 7, de la directive proposée ne précise pas explicitement la finalité de l’enregistrement des conversations téléphoniques et des communications électroniques. Il est néanmoins fait référence à plusieurs finalités différentes au considérant 42 et à l’article 16, paragraphe 6, de la directive proposée, dans l’avis rendu par le Comité européen des régulateurs des marchés des valeurs mobilières (CERVM) et dans l’analyse d’impact. |
|
24. |
L’article 16, paragraphe 6, de la directive proposée dispose qu’une entreprise d’investissement doit conserver un enregistrement de tout service fourni et de toute transaction effectuée par elle-même afin de «[permettre] à l’autorité compétente de contrôler le respect des obligations prévues dans la présente directive et, en particulier, de toutes les obligations de cette entreprise à l’égard des clients ou clients potentiels». |
|
25. |
Le considérant 42 de la directive proposée explique que «[l’]enregistrement des conversations téléphoniques et des communications électroniques en rapport avec des ordres de clients […] est justifié en ce qu’il permet de renforcer la protection des investisseurs, d’améliorer la surveillance des marchés et d’accroître la sécurité juridique dans l’intérêt des entreprises d’investissement et de leurs clients». Le considérant évoque également l’avis technique adressé à la Commission européenne le 29 juillet 2010 par le CERVM au sujet de l’importance de ces enregistrements (9). |
|
26. |
L’avis du CERVM souligne que d’après les autorités compétentes, l’enregistrement des conversations serait nécessaire: i) pour garantir qu’il y ait suffisamment de preuves pour résoudre les litiges survenant entre l’entreprise d’investissement et ses clients au sujet des conditions des transactions; ii) pour faciliter les travaux de surveillance relatifs aux règles de conduite; et iii) pour aider à dissuader et à détecter les abus de marché et faciliter l’application de la législation dans ce domaine. L’enregistrement ne serait pas le seul moyen permettant aux autorités d’assurer cette surveillance, mais il «peut aider» les autorités compétences à vérifier, par exemple, le respect des dispositions de la directive MIFID relatives aux informations fournies aux clients et clients potentiels, à l’obligation d’exécution au mieux et au traitement des ordres des clients. |
|
27. |
Il est expliqué dans l’analyse d’impact que «les autorités compétentes ont besoin de ces informations (c.-à-d. des enregistrements téléphoniques et électroniques) pour garantir l’intégrité du marché et l’application réelle des règles de conduite» (10). |
|
28. |
Les différentes finalités mentionnées au considérant 42 et à l’article 16, paragraphe 6, de la directive proposée, dans l’avis du CERVM et dans l’analyse d’impact, ne sont pas décrites de manière logique et cohérente, mais se trouvent à divers endroits de la proposition et des documents connexes. Aux termes de l’article 6, paragraphe 1, de la directive 95/46/CE, les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Le CEPD invite dès lors le législateur à définir clairement et précisément la finalité de l’enregistrement des conversations téléphoniques et des communications électroniques à l’article 16, paragraphe 7, de la directive proposée. |
|
29. |
En vertu de l’article 6, paragraphe 1, point c), de la directive 95/46/CE, les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement; en d’autres termes, les données collectées doivent être limitées à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser. |
|
30. |
L’article 16, paragraphe 7, fait référence aux conversations téléphoniques ou communications électroniques en rapport, au moins, avec les transactions conclues dans le cadre d’une négociation pour compte propre et les ordres de clients, lorsque les services de réception et de transmission d’ordres ainsi que d’exécution d’ordres pour le compte de clients sont fournis. |
|
31. |
Premièrement, excepté pour les transactions explicitement mentionnées, l’article 16, paragraphe 7, ne précise pas à quelles conversations téléphoniques et communications électroniques les enregistrements font référence. Le CEPD croit comprendre qu’il s’agit des communications relatives aux services fournis et aux transactions effectuées par les entreprises d’investissement. Toutefois, cela devrait être clairement précisé. En outre, l’utilisation des mots «dont au moins» permet d’inclure diverses séries de conversations téléphoniques ou de communications électroniques. La disposition devrait au contraire définir clairement les communications qui seront enregistrées en se limitant à celles qui sont nécessaires aux fins de l’enregistrement. |
|
32. |
Deuxièmement, la disposition ne précise pas les catégories de données qui seront conservées. Comme ceci a déjà été souligné, les données relatives aux communications électroniques peuvent contenir une vaste gamme d’informations à caractère personnel, comme l’identité des personnes émettrices et destinatrices de la communication, des indications sur le temps, le réseau utilisé, la situation géographique de l’utilisateur s’il s’agit d’un appareil mobile, etc. Elles peuvent aussi éventuellement donner accès au contenu des communications. En outre, la référence aux «conversations» suppose que le contenu des communications sera enregistré. Conformément au principe de proportionnalité, les données à caractère personnel contenues dans les enregistrements de conversations téléphoniques et de communications électroniques doivent être limitées à celles qui sont nécessaires à la réalisation des finalités pour lesquelles elles ont été collectées. |
|
33. |
Si, par exemple, la finalité de l’enregistrement des communications est la conservation de preuves des transactions, il semble qu’il n’y ait alors pas d’autre choix que d’enregistrer le contenu des communications afin de pouvoir en tirer des preuves des transactions. Par contre, l’enregistrement du contenu de communications aux fins de la détection d’abus de marché ou en vue de contrôler de manière générale le respect des dispositions contenues dans la directive proposée serait excessif et disproportionné. À cet égard, l’article 71, paragraphe 2, point d), de la directive proposée, qui confère aux autorités compétentes le pouvoir d’exiger des enregistrements téléphoniques et d’échanges de données détenus par une entreprise d’investissement lorsqu’il existe un motif raisonnable de soupçonner qu’une violation de la directive proposée a été commise, exclut explicitement le contenu des communications. De même, l’article 17, paragraphe 2, point f), de la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché (11), qui confère le même pouvoir d’enquête aux autorités compétentes en vue de prouver l’existence d’opérations d’initiés ou de manipulations de marché, exclut lui aussi explicitement le contenu des communications. |
|
34. |
Le CEPD recommande donc vivement de préciser, à l’article 16, paragraphe 7, de la directive proposée, les types de conversations téléphoniques et de communications électroniques, ainsi que les catégories de données afférentes aux conversations et communications en question, qui seront enregistrées. Ces données doivent être adéquates, pertinentes et non excessives au regard de la même finalité. |
|
35. |
Aux termes de l’article 6, paragraphe 1, point e), de la directive 95/46/CE, les données à caractère personnel devraient être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées (12). Le délai de conservation indiqué à l’article 16, paragraphe 7, est de trois ans. L’analyse d’impact reconnaît que toute mesure prise dans ce domaine devrait respecter les règles édictées par l’UE en matière de protection des données figurant dans la directive 95/46/CE. Elle souligne néanmoins qu’au moment de fixer le délai de conservation, il convient de tenir compte de la législation européenne existante en matière de conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications afin de lutter contre les formes graves de criminalité. Selon l’analyse, il a été démontré que ce délai maximum de trois ans satisfait aux principes de nécessité et de proportionnalité requis pour garantir une atteinte légale à un droit fondamental (13). |
|
36. |
De l’avis du CEPD, l’analyse de la nécessité et de la proportionnalité de la durée de la mesure n’est pas adéquate. Aucune des différentes finalités (parfois floues) mentionnées à l’article 16, paragraphe 6, au considérant 42, dans l’analyse d’impact ou dans l’avis du CERVM pour l’enregistrement de conversations téléphoniques et de communications électroniques ne mentionne la lutte contre les formes graves de criminalité. |
|
37. |
Il convient d’effectuer l’évaluation en fonction des finalités de l’enregistrement dans le cadre de la directive proposée. Si, par exemple, la finalité est de «garantir qu’il y ait suffisamment de preuves pour résoudre les litiges survenant entre l’entreprise d’investissement et ses clients au sujet des conditions des transactions» (14), l’analyse d’impact devrait alors se pencher sur le délai de conservation des données en prenant en considération les délais de prescription sur la base desquels ces litiges peuvent prendre forme |
|
38. |
Le CEPD invite par conséquent le législateur à évaluer soigneusement le délai de conservation qui est nécessaire aux fins de l’enregistrement des conversations téléphoniques et des communications électroniques dans le cadre spécifique de la proposition. |
2.4. Pouvoirs des autorités compétentes
|
39. |
L’article 71 de la directive énumère les pouvoirs de surveillance et d’enquête dont sont investies les autorités compétentes. |
|
40. |
L’article 71, paragraphe 4, fait référence à la directive 95/46/CE en indiquant que le traitement des données à caractère personnel recueillies dans l’exercice des compétences de surveillance et d’enquête doit en tout état de cause être effectué dans le respect des droits fondamentaux au respect de la vie privée et à la protection des données. Le CEPD est favorable à cette disposition, qui traite spécifiquement du lien existant entre le rôle d’enquêteur conféré aux autorités et le traitement de données à caractère personnel effectué dans le cadre de leurs activités. |
2.4.1. Pouvoir de procéder à des inspections sur place
|
41. |
L’article 71, paragraphe 2, point c), habilite les autorités compétentes à effectuer des inspections sur place. Contrairement à ce que prévoit la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché (15), la présente disposition ne contient aucune référence au pouvoir conféré aux autorités compétentes de «pénétrer dans des locaux privés pour y saisir des documents». Cela pourrait laisser entendre que le pouvoir d’inspection est limité aux locaux des entreprises d’investissement et ne couvre pas les locaux privés. Par souci de clarté, le CEPD suggère donc de préciser expressément cette limitation dans le texte. Si, au contraire, l’intention de la Commission est d’autoriser l’inspection de locaux privés, le CEPD renvoie à l’observation qu’il a formulée sur ce point dans son avis relatif à la proposition susmentionnée (16), selon laquelle il estime que l’exigence générale d’une autorisation judiciaire préalable, quelles que soient les dispositions prises à ce sujet en droit national, serait justifiée compte tenu du caractère potentiellement intrusif du pouvoir en question. |
2.4.2. Pouvoir de demander des enregistrements téléphoniques et d’échanges de données
|
42. |
L’article 71, paragraphe 2, point d), de la directive proposée habilite les autorités compétentes à «exiger les enregistrements des échanges téléphoniques et de données existants détenus par des entreprises d’investissement». Elle précise que la demande est subordonnée à l’existence de «motifs raisonnables de suspecter» que de tels enregistrements «peuvent se révéler importants pour apporter la preuve qu’une entreprise d’investissement a manqué aux obligations qui lui incombent» en vertu de la directive. En tout état de cause, les enregistrements n’incluront pas «le contenu des communications auxquelles ils se rapportent». Le CEPD comprend que le texte précise les pouvoirs conférés aux autorités compétentes en exigeant comme condition d’accès aux enregistrements des motifs raisonnables de suspecter une infraction et en empêchant les autorités compétentes d’accéder au contenu des communications. |
|
43. |
La directive proposée ne contient toutefois aucune définition des notions d’«enregistrements téléphoniques et d’échanges de données». La directive 2002/58/CE (directive «Vie privée») fait uniquement référence aux «données relatives au trafic», mais pas aux «enregistrements téléphoniques et d’échanges de données». Il va sans dire que la signification exacte de ces notions détermine l’impact que le pouvoir d’enquête pourrait avoir sur la protection de la vie privée et des données des personnes concernées. Le CEPD propose d’utiliser la terminologie déjà employée dans la définition de «données relatives au trafic» figurant dans la directive 2002/58/CE. |
|
44. |
Les données relatives à l’utilisation de moyens de communications électroniques peuvent contenir un vaste ensemble d’informations personnelles, telles que l’identité des personnes émettant et recevant l’appel, l’heure et la durée de l’appel, le réseau utilisé, la localisation géographique de l’utilisateur en cas de téléphone portable, etc. Certaines données relatives au trafic concernant l’utilisation de l’internet et du courrier électronique (par exemple la liste des sites internet visités) peuvent en outre révéler d’importants détails sur le contenu de la communication. Par ailleurs, le traitement de données relatives au trafic est contraire au secret de la correspondance. Compte tenu de ces éléments, la directive 2002/58/CE a établi le principe selon lequel les données relatives au trafic doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la .transmission d’une communication (17). Aux termes de l’article 15, paragraphe 1, de cette directive, les États membres ont la possibilité d’inclure des dérogations à la législation nationale pour des finalités légitimes spécifiques, à condition qu’elles soient nécessaires, appropriées et proportionnées au sein d’une société démocratique pour réaliser ces finalités (18). |
|
45. |
Le CEPD reconnaît que les objectifs visés par la Commission dans le règlement sur les agences de notation de crédit sont légitimes. Il comprend la nécessité d’entreprendre des initiatives visant à renforcer la surveillance des marchés financiers afin de préserver leur solidité et de mieux protéger les investisseurs et l’économie en général. Cependant, les pouvoirs d’enquête concernant directement les données relatives au trafic, compte tenu de leur nature potentiellement intrusive, doivent respecter les exigences de nécessité et de proportionnalité, c’est-à-dire qu’ils doivent être limités à ce qui est approprié pour réaliser l’objectif visé et ne pas aller au-delà de ce qui est nécessaire pour le réaliser (19). Dans cette perspective, il est donc essentiel qu’ils soient clairement formulés en ce qui concerne leur champ d’application personnel et matériel ainsi que les circonstances et les conditions dans lesquelles ils peuvent être utilisés. En outre, des garanties appropriées devraient être fournies contre le risque d’abus. |
|
46. |
Les enregistrements téléphoniques et d’échanges de données dont il est question contiendront évidemment des données à caractère personnel au sens de la directive 95/46/CE, de la directive 2002/58/CE et du règlement (CE) no 45/2001. Il convient donc de s’assurer que les conditions d’un traitement loyal et licite des données à caractère personnel, telles que prévues dans les directives et le règlement, sont pleinement respectées. |
|
47. |
Le CEPD observe que l’article 71, paragraphe 3, rend l’obtention d’une autorisation judiciaire obligatoire lorsqu’une telle autorisation est requise par la législation nationale. Il estime néanmoins que l’exigence générale d’une autorisation judiciaire préalable, dans tous les cas de figure — quelles que soient les dispositions prises à ce sujet en droit national —, serait justifiée compte tenu du caractère potentiellement intrusif du pouvoir en question et dans l’intérêt d’une application harmonisée de la législation dans tous les États membres de l’UE. Il convient également de tenir compte du fait que plusieurs législations des États membres prévoient des garanties spéciales en matière d’inviolabilité du domicile contre les inspections, les fouilles et les saisies disproportionnées et insuffisamment réglementées avec soin, surtout lorsqu’elles sont effectuées par des institutions de nature administrative. |
|
48. |
Le CEPD recommande par ailleurs d’introduire l’exigence pour l’AEMF de demander des enregistrements téléphoniques et d’échanges de données par décision officielle précisant la base juridique et l’objet de la demande, les informations demandées, le délai dans lequel les informations doivent être communiquées ainsi que le droit du destinataire de faire réexaminer la décision par la Cour de justice. |
|
49. |
L’expression «enregistrements des échanges téléphoniques et de données existants» ne semble pas être suffisamment claire. Les enregistrements téléphoniques et d’échanges de données ne sont pas définis, bien que l’article 71, paragraphe 2, point 2), de la directive MIFID dispose qu’il ne s’agit que de ceux «détenus par des entreprises d’investissement». Les données détenues par des entreprises d’investissement sont probablement celles visées à l’article 16, paragraphes 6 et 7, dont il est question ci-dessus. Cela devrait vouloir dire que le texte n’inclut pas les enregistrements détenus par des fournisseurs de communications électroniques ayant signé un contrat d’approvisionnement avec l’entreprise d’investissement concernée. Par souci de clarté, le CEPD recommande de préciser les enregistrements d'échanges téléphoniques et de données détenus par une entreprise d’investissement dont il est question. |
2.5. Publication des sanctions ou autres mesures
2.5.1. Publication obligatoire des sanctions
|
50. |
L’article 74 de la directive proposée contraint les États membres à s’assurer que les autorités compétentes publient dans les meilleurs délais toutes les sanctions ou mesures imposées à la suite de violations des dispositions du règlement proposé ou des dispositions nationales adoptées en application de la présente directive, en fournissant des informations sur le type et la nature de la violation et l’identité des personnes qui en sont responsables, sauf dans les cas où cette publication nuirait gravement à la stabilité des marchés financiers. Cette obligation n’est amoindrie que dans le cas où cette publication causerait un «préjudice disproportionné» aux parties en cause, auquel cas les autorités compétentes publient les sanctions de manière anonyme. |
|
51. |
La publication des sanctions permettrait de renforcer l’effet dissuasif, étant donné que les auteurs d’infractions avérés ou potentiels seraient découragés de commettre des infractions qui pourraient nuire considérablement à leur réputation. Elle améliorerait également la transparence, vu que les opérateurs de marché seraient mis au courant des infractions commises par des personnes données (20). Cette obligation n’est amoindrie que dans le cas où cette publication causerait un préjudice disproportionné aux parties en cause, auquel cas les autorités compétentes publient les sanctions de manière anonyme. Par ailleurs, tout en admettant que l’introduction d’un régime de sanctions (que ce soit par le biais d’une harmonisation complète ou minimale) aurait une incidence sur les droits fondamentaux tels que ceux visés aux articles 7 (droit au respect de la vie privée et familiale) et 8 (protection des données à caractère personnel) et éventuellement aussi aux articles 47 (droit à un recours effectif et à accéder à un tribunal impartial) et 48 (présomption d’innocence et droits de la défense) de la Charte de l’UE (21), l’analyse d’impact ne semble pas examiner les éventuelles incidences de la publication des sanctions elles-mêmes sur ces droits. |
|
52. |
Aux termes de l’article 75, paragraphe 2, point a), les autorités compétentes disposent déjà, parmi leurs pouvoirs de sanction, de la possibilité de publier une déclaration publique précisant l’identité de la personne responsable et la nature de l’infraction (22). Il est difficile de voir comment l’obligation de publication prévue par l’article 74 pourrait être conciliée avec le pouvoir d’effectuer une déclaration publique aux termes de l’article 75, paragraphe 2, point a). L’inclusion du pouvoir d’effectuer des déclarations publiques dans l’article 75, paragraphe 2, point a), prouve que la publication est en elle-même une sanction à part entière, qui devrait donc être examinée au cas par cas sur la base des critères de proportionnalité établis à l’article 76 (23). |
|
53. |
Le CEPD n’est pas convaincu que l’obligation de publication des sanctions, telle qu’elle est actuellement formulée, satisfasse aux exigences de la législation en matière de protection des données telles que précisées par la Cour de justice dans l’arrêt Schecke (24). Il estime que la finalité, la nécessité et la proportionnalité de cette mesure ne sont pas suffisamment établies et qu’en tout état de cause, il aurait fallu prévoir des garanties adéquates contre les risques auxquels sont exposés les droits des personnes. |
2.5.2. Nécessité et proportionnalité de la publication
|
54. |
Dans son arrêt Schecke, la Cour de justice a annulé les dispositions d’un règlement du Conseil et d’un autre règlement de la Commission exigeant la publication obligatoire d’informations relatives aux bénéficiaires des fonds agricoles, notamment l’identité des bénéficiaires en question et les montants reçus. La Cour a estimé que ladite publication représentait un traitement de données à caractère personnel relevant de l’article 8, paragraphe 2, de la Charte des droits fondamentaux de l’Union européenne (la «Charte») et interférait dès lors avec les droits reconnus par les articles 7 et 8 de la Charte. |
|
55. |
Après avoir jugé que «les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire», la Cour s’est tournée vers l’analyse de la finalité de la publication et de la proportionnalité de cette dernière. Elle en a conclu que rien ne permettait de démontrer qu’en adoptant la législation en question, le Conseil et la Commission avaient envisagé des méthodes de publication des informations qui respecteraient l’objectif de cette publication tout en minimisant les interférences avec ces bénéficiaires. |
|
56. |
L’article 74 de la directive proposée semble présenter les mêmes lacunes que celles soulignées par la CJUE dans son arrêt Schecke. Il convient de tenir compte du fait que pour évaluer le respect des exigences en matière de protection des données d’une disposition prévoyant la divulgation publique d’informations à caractère personnel, il est capital de définir une finalité bien établie que la publication envisagée entend atteindre. Ce n’est qu’avec une finalité claire et bien définie qu’il sera possible de déterminer si la publication de données à caractère personnel en question est véritablement nécessaire et proportionnée (25). |
|
57. |
Après lecture de la proposition et des documents qui l’accompagnaient (à savoir le rapport d’analyse d’impact), le CEPD estime que la finalité, et, par conséquent, la nécessité, de cette mesure n’est pas clairement établie. Si les considérants de la proposition restent muets sur ces questions, le rapport d’analyse d’impact, lui, se contente d’indiquer que «la publication des sanctions est importante pour faire en sorte que les sanctions en question aient un effet dissuasif sur les destinataires et nécessaire pour faire en sorte qu’elles aient un effet dissuasif sur le grand public» (26). Une déclaration aussi générale ne semble pas suffisante pour prouver la nécessité de la mesure proposée. Si la finalité d’ordre général est de renforcer l’effet dissuasif, la Commission aurait dû notamment expliquer plus précisément en quoi l’alourdissement des sanctions financières (ou l’imposition de sanctions autres que la dénonciation) n’aurait pas été suffisant. |
|
58. |
Par ailleurs, le rapport d’analyse d’impact ne semble pas tenir suffisamment compte des méthodes moins intrusives telles que la publication limitée aux établissements de crédit ou la publication décidée au cas par cas. Cette dernière option, en particulier, semble à première vue être une solution plus proportionnée, surtout compte tenu du fait que — comme le reconnaît l’article 75, paragraphe 2, point a) — la publication est une sanction, qui doit donc être évaluée au cas par cas, en tenant compte des circonstances propres au cas d’espèce, comme la gravité de l’infraction, le degré de responsabilité personnelle, la récidive, les pertes subies par les tierces parties, etc. (27). |
|
59. |
De l’avis du CEPD, la possibilité d’examiner l’affaire en tenant compte des circonstances qui lui sont propres rend cette solution plus proportionnée et cette option devrait donc être privilégiée par rapport à la publication obligatoire quel que soit le cas envisagé. Cette discrétion permettrait par exemple à l’autorité compétente d’éviter la publication des sanctions en cas de violation bénigne, lorsque celle-ci n’a pas entraîné de dommages considérables, lorsque la partie a fait preuve de coopération, etc. |
|
60. |
L’article 35, paragraphe 6, du règlement proposé porte sur la publication, sur le site internet de l’AEMF, d’un avis pour toutes les décisions visant à imposer ou à renouveler une limitation de la capacité d’une personne à conclure des contrats portant sur des instruments dérivés sur matières premières. Il est donc question de publier l’identité des personnes dont la capacité de négociation a été limitée par l’AEMF, ainsi que les instruments financiers applicables, les mesures quantitatives pertinentes comme le nombre maximum de contrats que la personne ou la catégorie de personnes en question peut conclure et les motifs de ces décisions. L’entrée en vigueur de la mesure est subordonnée à la publication elle-même (article 35, paragraphe 7). Sur la base du raisonnement exposé au sujet des dispositions de la directive, le CEPD encourage le législateur à se demander si la publication est nécessaire et s’il n’existe pas d’autres méthodes moins restrictives lorsque des personnes physiques sont concernées. |
2.5.3. Nécessité de garanties adéquates
|
61. |
La directive proposée aurait dû prévoir des garanties adéquates afin de garantir un juste équilibre entre les différents intérêts en jeu. Premièrement, des garanties sont nécessaires en ce qui concerne le droit des personnes accusées à contester la décision devant un tribunal et la présomption d’innocence. Il aurait fallu inclure des indications spécifiques à cet égard dans le libellé de l’article 74, de manière à obliger les autorités compétentes à prendre des mesures appropriées tant en ce qui concerne les cas où la décision fait l’objet d’un recours qu’en ce qui concerne les cas où la décision est finalement annulée par un tribunal (28). |
|
62. |
Deuxièmement, la directive proposée devrait assurer que les droits des personnes concernées soient respectés de manière proactive. Le CEPD apprécie le fait que la version finale de la proposition prévoit la possibilité d’exclure la publication lorsque celle-ci entraînerait des dommages disproportionnés. Toutefois, une approche proactive supposerait que les personnes concernées soient préalablement informées de la future publication de la décision qui les sanctionne et qu’elles disposent d’un droit d’opposition aux termes de l’article 14 de la directive 95/46/CE relatif aux raisons impérieuses et légitimes (29). |
|
63. |
Troisièmement, si la directive proposée ne précise pas le support sur lequel les informations devraient être publiées, concrètement, on peut imaginer que dans la plupart des États membres, la publication se fera sur l’internet. Or, les publications sur l’internet supposent des problèmes et des risques spécifiques et entraînent notamment la nécessité de veiller à ce que les informations ne soient pas conservées en ligne plus longtemps que nécessaire et que les données ne puissent être ni manipulées, ni modifiées. L’utilisation de moteurs de recherche externes entraîne également le risque que les informations soient sorties de leur contexte, diffusées sur l'internet et ailleurs par des moyens qui ne peuvent pas être facilement contrôlés (30). |
|
64. |
Au vu de ce qui précède, il est nécessaire d’obliger les États membres à veiller à ce que les données personnelles des individus concernés ne soient mises en ligne que pendant une période raisonnable, au terme de laquelle elles doivent être systématiquement supprimées (31). En outre, les États membres devraient être tenus de garantir que des mesures de sécurité adéquates sont mises en place, surtout pour éviter les risques liés à l’utilisation de moteurs de recherche externes (32). |
2.5.4. Conclusions sur la publication
|
65. |
Le CEPD est d’avis que la disposition relative à la publication obligatoire des sanctions – telle qu’elle est actuellement formulée — ne respecte pas le droit fondamental à la protection de la vie privée et des données. Le législateur devrait évaluer attentivement la nécessité du système proposé et s’assurer que l’obligation de publication ne dépasse pas ce qui est nécessaire à la réalisation de l’objectif d’intérêt public fixé et qu’il n’existe pas d’autres mesures moins restrictives qui permettraient d’atteindre le même objectif. Quels que soient les résultats de cet examen de proportionnalité, l’obligation de publication devrait de toute façon être accompagnée de garanties adéquates permettant d’assurer le respect de la présomption d’innocence et du droit d’opposition des personnes concernées, la sécurité/l’exactitude des données et la suppression de celles-ci après un délai adéquat. |
2.6. Signalements des violations
|
66. |
L’article 77 de la directive proposée traite des mécanismes de signalements des infractions, également appelés mécanismes de dénonciation. Si ces systèmes peuvent s’avérer être des outils efficaces de conformité, ils posent d’importants problèmes du point de vue de la protection des données (33). Le CEPD se félicite de constater que la directive proposée contient des garanties spécifiques, à développer davantage au niveau national, concernant la protection des personnes signalant une suspicion d’infraction et, de manière plus générale, la protection des données à caractère personnel. L’analyse d’impact indique que les mécanismes de dénonciation font partie des options envisagées pour introduire des sanctions dans l’évaluation des droits fondamentaux (34) et rappelle la nécessité de mettre en œuvre la législation visant à respecter les principes de protection des données et les critères établis par les autorités de protection des données. Le CEPD est conscient que la directive n’établit que les grandes lignes du mécanisme que les États membres devront mettre en place, mais il voudrait néanmoins attirer l’attention sur les points suivants. |
|
67. |
Le CEPD souligne, comme il l’a fait dans d’autres avis (35), qu’il importe d’introduire une référence spécifique à la nécessité de respecter la confidentialité de l’identité des dénonciateurs et informateurs. Le CEPD insiste sur le fait que la position des dénonciateurs est délicate. Les personnes qui fournissent ce type d’informations devraient recevoir l’assurance que leur identité sera gardée confidentielle, surtout vis-à-vis de la personne accusée d’avoir commis un acte répréhensible (36). La confidentialité de l’identité des dénonciateurs devrait être garantie à toutes les étapes de la procédure, pour autant que cela n’enfreigne pas les règles nationales régissant les procédures judiciaires. En particulier, l’identité du dénonciateur pourrait devoir être divulguée en cas d’enquête complémentaire ou de procédure judiciaire entamée suite à l’enquête (y compris lorsqu’il a été établi que le dénonciateur a fait de fausses déclarations à des fins malveillantes) (37). Au vu de ce qui précède, le CEPD recommande d’ajouter la disposition suivante au point b) de l’article 77, paragraphe 1: «la confidentialité de l’identité des dénonciateurs devrait être garantie à toutes les étapes de la procédure, à moins que sa divulgation ne soit exigée par la législation nationale dans le cadre d’une enquête complémentaire ou d’une procédure judiciaire ultérieure». |
|
68. |
Le CEPD souligne en outre l’importance de prévoir des règles adéquates pour garantir les droits d’accès des personnes accusées, qui sont étroitement liés aux droits de défense (38). Les procédures prévues pour la réception des notifications de violations et leur suivi mentionnées à l’article 77, paragraphe 1, point a), doivent garantir que les droits de la défense des personnes accusées, comme le droit à être informé, le droit d’accès au dossier d’enquête et la présomption d’innocence, sont pleinement respectés et qu’ils ne sont limités que dans la mesure où cela est nécessaire (39). Le CEPD suggère à ce propos d’ajouter également dans la directive proposée la disposition figurant à l’article 29, point d), de la proposition de la Commission concernant un règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché, obligeant les États membres à mettre en place des «procédures appropriées pour garantir que la personne mise en cause bénéficie de droits de la défense et du droit d’être entendue avant l’adoption d’une décision définitive la concernant ainsi que d’un droit de recours devant un tribunal contre la décision rendue à son égard». |
|
69. |
Enfin, en ce qui concerne le point c) de l’article 77, paragraphe 1, le CEPD est satisfait de constater que cette disposition oblige les États membres à garantir la protection des données à caractère personnel de la personne mise en cause et de la personne mettant en cause, conformément aux principes établis par la directive 95/46/CE. Il propose néanmoins de remplacer les termes «conformément aux principes consacrés par la directive 95/46/CE» par «conformément à la directive 95/46/CE», afin de rendre plus globale et contraignante la référence à la directive. En ce qui concerne la nécessité de respecter la législation en matière de protection des données dans le cadre de la mise en œuvre concrète des mécanismes, le CEPD voudrait souligner en particulier les recommandations formulées par le groupe de travail «Article 29» dans son avis de 2006 sur la dénonciation. Lorsqu’elles mettent en œuvre les mécanismes nationaux, les entités concernées devraient notamment tenir compte de la nécessité de respecter la proportionnalité en limitant, dans la mesure du possible, les catégories de personnes autorisées à soumettre des notifications, les catégories de personnes pouvant être mises en cause et les infractions pour lesquelles elles peuvent être mises en cause; la nécessité de favoriser les notifications identifiées et confidentielles au lieu des notifications anonymes; la nécessité d’assurer la divulgation de l’identité des dénonciateurs lorsque ces derniers ont fait des déclarations malveillantes; et enfin, la nécessité de respecter des délais stricts de conservation des données. |
2.7. Coopération entre les autorités compétentes des États membres et l’AEMF
2.7.1. Coopération dans le cadre de la directive proposée
|
70. |
L’article 83 introduit l’obligation de coopération entre autorités compétentes des États membres et entre celles-ci et l’AEMF. En particulier, le paragraphe 5 de cet article prévoit l’obligation, pour les autorités compétentes, de transmettre à l’AEMF et aux autres autorités les détails relatifs: a) à toute demande adressée à une personne ayant fourni des informations relatives à l’exposition totale pour que celle-ci prenne des mesures pour réduire cette exposition [conformément à l’article 72, paragraphe 1, point f)], et b) à toute limitation de la capacité d’une personne à conclure des contrats de marchandises [conformément à l’article 72, paragraphe 1, point g)]. La notification inclura les informations relatives à l’identité de la personne à laquelle la demande a été adressée, ainsi que la teneur des limites, les types d’instruments financiers couverts et d’autres d’informations. |
|
71. |
Il est par ailleurs indiqué que l’autorité compétente d’un État membre qui reçoit une notification telle que décrite ci-dessus «peut prendre des mesures conformément à l’article 72, paragraphe 1, point f) ou g) si elle estime que cette mesure est nécessaire pour atteindre l’objectif de l’autre autorité compétente». Le CEPD voudrait souligner que ce type de décision devant être prise par l’autorité compétente pourrait être interprétée comme répondant aux critères d’une «décision individuelle automatisée», comme décrite à l’article 15 de la directive 95/46/CE: cette interprétation découle du fait que l’article 72 exige que l’autorité compétente destinataire vérifie que la mesure en question est capable d’atteindre l’objectif de l’autre autorité compétente. L’autorité compétente de l’État membre qui reçoit la notification n’est donc pas spécifiquement tenue de réaliser une analyse indépendante des circonstances de l’affaire — également basée sur les données à caractère personnel de la personne concernée — pour adopter une mesure limitant ses droits. L’article 15 de la directive 95/46/CE dispose que toute personne devrait avoir le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, sa solvabilité, sa fiabilité, etc. L’article 15, paragraphe 2, de la directive 95/46/CE est pertinent dans le présent contexte: il dispose qu’une personne peut être soumise à une décision décrite ci-dessus si cette dernière est «autorisée par la loi» et si des garanties ont été mises en place pour protéger les intérêts légitimes de la personne concernée. Les législations nationales mettant en œuvre la directive constitueraient la base juridique de l’exception introduite par l’article 15, paragraphe 2, de la directive 95/46/CE; ceci étant, aucune garantie spécifique n’a été introduite pour protéger les intérêts légitimes des personnes concernées. |
|
72. |
Le texte de la directive proposée semble dès lors introduire la possibilité d’une décision automatisée affectant la capacité d’une autorité basée dans un autre État membre que celui dans lequel la sanction a initialement été appliquée à conclure des contrats. Compte tenu de l’impact qu’une telle décision peut avoir sur les droits d’une personne professionnellement impliquée dans des activités d’investissement, le CEPD souligne que le texte doit contenir une référence spécifique au droit à s’opposer aux décisions individuelles automatisées conformément à l’article 15 de la directive 95/46/CE. Il devrait expressément introduire des garanties permettant de s’assurer que la personne concernée peut être informée du transfert et de l’existence d’un processus lancé par l’autorité compétente destinataire en vue d’adopter une telle décision, afin de pouvoir exercer efficacement son droit d’opposition. |
2.7.2. Coopération dans le cadre du règlement proposé
|
73. |
L’article 34, paragraphe 2, du règlement prévoit qu’après la notification d’une mesure au titre de l’article 85, paragraphe 5, de la directive, l’AEMF doit enregistrer la mesure et les raisons ayant motivé son adoption, ainsi que maintenir et publier sur son site internet une base de données contenant des résumés des mesures en vigueur découlant de l’article 72, paragraphe 1, points f) et g), de la directive, «comprenant notamment des informations sur la personne ou la catégorie de personnes concernées». |
|
74. |
Cette publication constitue une autre activité de traitement impliquant des données à caractère personnel. Les observations formulées au chapitre 2.5 ci-dessus au sujet de la publication des sanctions s’appliquent également dans le cas présent. L’analyse d’impact ne semble contenir aucune évaluation de l’incidence de ce type de publication en ligne sur les droits fondamentaux. Le CEPD encourage donc le législateur à se pencher sur la véritable nécessité et la proportionnalité de cette mesure. |
2.8. Échanges d’informations avec des pays tiers
|
75. |
Le CEPD note la référence à la directive 95/46/CE, et notamment à son chapitre 4, ainsi qu’au règlement (CE) no 45/2001 à l’article 92 de la directive proposée. |
|
76. |
Toutefois, compte tenu des risques qu’impliquent ces transferts, le CEPD recommande d’ajouter des garanties spécifiques, comme une évaluation au cas par cas, l’assurance de la nécessité du transfert, l’exigence d’une autorisation expresse préalable de l’autorité compétente pour tout nouveau transfert de données vers et par un pays tiers et l’existence d’un niveau adéquat de protection des données à caractère personnel dans le pays tiers destinataire des données à caractère personnel. |
|
77. |
Un bon exemple d’une telle disposition contenant des garanties adéquates se trouve à l’article 23 de la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché (40). |
3. CONCLUSIONS
|
78. |
Le CEPD adresse les recommandations suivantes:
|
Fait à Bruxelles, le 10 février 2012.
Giovanni BUTTARELLI
Contrôleur adjoint européen de la protection des données
(1) JO L 281 du 23.11.1995, p. 31.
(2) JO L 8 du 12.1.2001, p. 1.
(3) Avis du CEPD du 10 février 2012 concernant le paquet législatif relatif à la révision de la législation bancaire, aux agences de notation de crédit, aux marchés d’instruments financiers (Mifidid/MIFIR) et aux abus de marché.
(4) JO L 145 du 30.4.2004, p. 1.
(5) Voir les considérants 20, 30 et 45 du règlement proposé et les considérants 41, 43, 69 et 103 de la directive proposée.
(6) COM(2011) 651.
(7) Proposition de la Commission concernant un règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché, COM(2011) 651.
(8) Voir l’avis du CEPD du 10 février 2012 concernant la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché, COM(2011) 651.
(9) Avis technique soumis par le CERVM à la Commission européenne dans le cadre de la révision de la directive MIFID — protection des investisseurs et intermédiaires, 29 juillet 2010, CESR/10-417 p. 7, http://www.esma.europa.eu/system/files/10_417.pdf
(10) Analyse d’impact, p. 150.
(11) COM(2011) 651 final.
(12) Article 6, paragraphe 1, point e), de la directive 95/46/CE.
(13) Analyse d’impact, p. 150.
(14) Voir l’étude du CERVM mentionnée au point 26 ci-dessus.
(15) COM (2011) 651.
(16) Voir le récent avis du CEPD du 10 février 2012 concernant la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché.
(17) Voir l’article 6, paragraphe 1, de la directive 2002/58/CE (JO L 201 du 31.7.2002, p. 37).
(18) L’article 15, paragraphe 1, de la directive 2002/58/CE, dispose que ces limitations doivent «constituer une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale — c’est-à-dire la sûreté de l’État —, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe (…)».
(19) Voir, p. ex., les affaires jointes C-92/09 et C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09)/Land Hessen, non encore publiées au Recueil, point 74.
(20) Voir le rapport d’analyse d’impact, pp. 42 et suivantes.
(21) Voir également p. 43 — analyse de l’impact de l’option «harmonisation minimale» sur les droits fondamentaux: «[l]’option interfère avec les articles 7 (droit au respect de la vie privée et familiale) et 8 (protection des données à caractère personnel) et éventuellement aussi avec les articles 47 (droit à un recours effectif et à accéder à un tribunal impartial) et 48 (présomption d’innocence et droits de la défense) de la Charte de l’UE. Cette option prévoit une limitation de ces droits dans le cadre de la législation, tout en respectant l’essence de ces droits. La limitation de ces droits est nécessaire pour atteindre l’objectif d’intérêt général visant à garantir le respect des règles énoncées dans la directive MIFID afin d’assurer un processus de négociation équitable et ordonné et de protéger les investisseurs. Pour être licites, les mesures et sanctions administratives imposées doivent être proportionnées à la gravité de l’infraction et respecter le droit à ne pas être jugé ou puni pénalement deux fois pour une même infraction,3 la présomption d’innocence, le droit de défense et le droit à un recours effectif et à accéder à un tribunal impartial en toutes circonstances […]».
(22) Voir le récent avis du CEPD du 10 février 2012 relatif à la proposition de directive concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement et à la proposition de règlement concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement.
(23) «Les États membres veillent à ce que les autorités compétentes, lorsqu’elles déterminent le type de sanctions ou de mesures administratives et le montant des sanctions pécuniaires administratives, tiennent compte de toutes les circonstances utiles, et notamment: a) de la gravité et de la durée de l’infraction; b) du degré de responsabilité de la personne physique ou morale en cause; c) de l’assise financière de la personne physique ou morale en cause, telle qu’elle ressort du chiffre d’affaires total de la personne morale en cause ou des revenus annuels de la personne physique en cause; d) de l’importance des gains obtenus ou des pertes évitées par la personne physique ou morale en cause, dans la mesure où ils peuvent être déterminés; e) des préjudices subis par des tiers du fait de la violation, dans la mesure où ils peuvent être déterminés; f) du degré de coopération avec les autorités compétentes dont a fait preuve la personne physique ou morale en cause; g) des violations antérieures commises par la personne physique ou morale en cause […]».
(24) Affaires jointes C-92/09 et C-93/09, Schecke, points 56-64.
(25) Voir également, à cet égard, l’avis du CEPD du 15 avril 2011 concernant les règles financières applicables au budget annuel de l’Union (JO C 215 du 21.7.2011, p. 13).
(26) Voir la note de bas de page 11 ci-dessus.
(27) C.-à-d. conformément à l’article 74 de la directive proposée fixant les critères de détermination des sanctions.
(28) Les autorités nationales pourraient par exemple envisager les mesures suivantes: retarder la publication jusqu’à ce que le recours soit rejeté ou, comme suggéré dans le rapport d’analyse d’impact, indiquer clairement que la décision est encore susceptible de recours et que la personne est présumée innocente jusqu’à ce que la décision devienne définitive et publier un rectificatif lorsque la décision est annulée par un tribunal.
(29) Voir l’avis du CEPD du 10 avril 2007 relatif au financement de la politique agricole commune (JO C 134 du 16.6.2007, p. 1).
(30) Voir à cet égard le document publié par l’autorité italienne responsable de la protection des données «Personal Data As Also Contained in Records and Documents by Public Administrative Bodies: Guidelines for Their Processing by Public Bodies in Connection with Web-Based Communication and Dissemination», disponible sur le site internet de l’autorité italienne responsable de la protection des données, http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707
(31) Ces considérations sont également liées au droit plus général à l’oubli, dont l’inclusion dans le nouveau cadre législatif pour la protection des données à caractère personnel est en cours de discussion.
(32) Ces mesures et garanties peuvent par exemple consister à exclure l’indexation des données par des moteurs de recherche externes.
(33) Le groupe de travail «Article 29» a rendu en 2006 un avis sur ces mécanismes dans lequel il traitait de leurs aspects ayant trait à la protection des données: avis 1/2006 relatif à l’application des règles de l’UE en matière de protection des données aux mécanismes internes de dénonciation des dysfonctionnements dans les domaines de la comptabilité, des contrôles comptables internes, de l’audit, de la lutte contre la corruption et la criminalité bancaire et financière (avis du GT sur la dénonciation). Cet avis peut être consulté sur le site internet du groupe de travail «Article 29»: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm
(34) Voir l’analyse d’impact, pp. 137-138: «s’agissant de l’introduction de “mécanismes de dénonciation”, des problèmes se posent au niveau de la protection des données à caractère personnel (article 8 de la Charte de l’UE et article 16 TFUE) ainsi qu’au niveau de la présomption d’innocence et des droit de la défense (article 48) prévus par la Charte de l’UE. Par conséquent, tout mécanisme de dénonciation mis en œuvre devrait respecter et intégrer les principes et critères de protection des données établis par les autorités de protection des données de l’UE et prévoir des garanties conformément à la Charte des droits fondamentaux».
(35) Voir par exemple l’avis du 15 avril 2011 concernant les règles financières applicables au budget annuel de l’Union et l’avis du 1 juin 2011 sur les enquêtes effectuées par l’OLAF, tous deux disponibles sur http://www.edps.europa.eu
(36) Le CEPD a déjà souligné importance de maintenir la confidentialité de l’identité des dénonciateurs dans une lettre adressée au Médiateur européen le 30 juillet 2010 dans l’affaire 2010-0458; cette lettre se trouve sur le site internet du CEPD (http://www.edps.europa.eu). Voir également les avis de contrôle préalable du CEPD du 23 juin 2006, à propos des enquêtes internes effectuées par l’OLAF (dossier 2005-0418), et du 4 octobre 2007 à propos des enquêtes externes effectuées par l’OLAF (dossiers 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).
(37) Voir l’avis du 15 avril 2011 concernant les règles financières applicables au budget annuel de l’Union, disponible sur http://www.edps.europa.eu
(38) Voir à cet égard les lignes directrices du CEPD relatives au traitement de données à caractère personnel dans le cadre d’enquêtes administratives et de procédures disciplinaires entamées par les institutions et organes de l’Union européenne, qui soulignent l’étroite corrélation entre le droit d’accès des personnes concernées et le droit de défense des personnes mises en cause (voir pp. 8 et 9). http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf
(39) Voir l’avis du groupe de travail «Article 29» sur la dénonciation, pp. 13-14.
(40) L’article 23 de la proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché, COM(2011) 651, dispose ce qui suit:
«1. L’autorité compétente d’un État membre peut transférer des données à caractère personnel vers un pays tiers sous réserve du respect des exigences de la directive 95/46/CE, en particulier de ses articles 25 et 26, et uniquement au cas par cas. L’autorité compétente de l’État membre s’assure que le transfert est nécessaire aux fins du présent règlement. L’autorité compétente veille à ce que le pays tiers ne transfère pas les données vers un autre pays tiers sauf autorisation écrite expresse et sous réserve du respect des conditions fixées par l’autorité compétente de l’État membre. Des données à caractère personnel ne peuvent être transférées que vers un pays tiers présentant un niveau adéquat de protection de ces données.
2. L’autorité compétente d’un État membre ne peut divulguer les informations qu’elle a reçues d’une autorité compétente d’un autre État membre à une autorité compétente d’un pays tiers que lorsqu’elle a obtenu le consentement exprès de l’autorité compétente qui lui a communiqué ces informations et, le cas échéant, lorsque ces informations sont communiquées uniquement aux fins pour lesquelles cette dernière a donné son consentement.
3. Tout accord de coopération prévoyant l’échange de données à caractère personnel respecte les dispositions de la directive 95/46/CE.»
II Communications
COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE
Commission européenne
|
25.5.2012 |
FR |
Journal officiel de l'Union européenne |
C 147/15 |
Autorisation des aides d'État dans le cadre des dispositions des articles 107 et 108 du TFUE
Cas à l'égard desquels la Commission ne soulève pas d'objection
(Texte présentant de l'intérêt pour l'EEE)
2012/C 147/02
|
Date d'adoption de la décision |
27.1.2012 |
||||
|
Numéro de référence de l'aide d'État |
N 598/09 |
||||
|
État membre |
Allemagne |
||||
|
Région |
Berlin, Brandenburg |
||||
|
Titre (et/ou nom du bénéficiaire) |
Förderrichtlinien der Medienboard Berlin-Brandenburg GmbH |
||||
|
Base juridique |
Förderrichtlinien der Medienboard Berlin-Brandenburg GmbH |
||||
|
Type de la mesure |
Régime |
||||
|
Objectif |
Promotion de la culture |
||||
|
Forme de l'aide |
Subvention remboursable |
||||
|
Budget |
|
||||
|
Intensité |
50 % |
||||
|
Durée |
1.1.2010-31.12.2014 |
||||
|
Secteurs économiques |
Services récréatifs, culturels et sportifs |
||||
|
Nom et adresse de l'autorité chargée de l'octroi |
Medienboard Berlin-Brandenburg |
||||
|
Autres informations |
— |
Le texte de la décision dans la (les) langue(s) faisant foi, expurgé des données confidentielles, est disponible sur le site:
http://ec.europa.eu/community_law/state_aids/state_aids_texts_fr.htm
|
Date d'adoption de la décision |
4.4.2012 |
||||
|
Numéro de référence de l'aide d'État |
SA.32582 (11/N) |
||||
|
État membre |
Allemagne |
||||
|
Région |
Thüringen |
||||
|
Titre (et/ou nom du bénéficiaire) |
Ergänzungsnotifizierung zum großen Investitionsvorhaben der ersol Solar Energy AG (heute: Bosch Solar Energy AG), Arnstadt (staatl. Beihilfe N 539/08) — Investitionszulage zu Gunsten der CRS Reprocessing Germany GmbH |
||||
|
Base juridique |
Investitionszulagengesetz 2007 |
||||
|
Type de la mesure |
Aide individuelle |
||||
|
Objectif |
Développement régional, Emploi, Protection de l'environnement |
||||
|
Forme de l'aide |
Subvention directe |
||||
|
Budget |
Montant global de l'aide prévue: 0,27 Mio EUR |
||||
|
Intensité |
10 % |
||||
|
Durée |
jusqu'au 31.12.2011 |
||||
|
Secteurs économiques |
Fabrication d’autres produits chimiques inorganiques de base |
||||
|
Nom et adresse de l'autorité chargée de l'octroi |
|
||||
|
Autres informations |
— |
Le texte de la décision dans la (les) langue(s) faisant foi, expurgé des données confidentielles, est disponible sur le site:
http://ec.europa.eu/community_law/state_aids/state_aids_texts_fr.htm
IV Informations
INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE
Commission européenne
|
25.5.2012 |
FR |
Journal officiel de l'Union européenne |
C 147/17 |
Taux de change de l'euro (1)
24 mai 2012
2012/C 147/03
1 euro =
|
|
Monnaie |
Taux de change |
|
USD |
dollar des États-Unis |
1,2557 |
|
JPY |
yen japonais |
99,75 |
|
DKK |
couronne danoise |
7,4313 |
|
GBP |
livre sterling |
0,80095 |
|
SEK |
couronne suédoise |
8,9760 |
|
CHF |
franc suisse |
1,2010 |
|
ISK |
couronne islandaise |
|
|
NOK |
couronne norvégienne |
7,5360 |
|
BGN |
lev bulgare |
1,9558 |
|
CZK |
couronne tchèque |
25,390 |
|
HUF |
forint hongrois |
299,78 |
|
LTL |
litas lituanien |
3,4528 |
|
LVL |
lats letton |
0,6975 |
|
PLN |
zloty polonais |
4,3483 |
|
RON |
leu roumain |
4,4680 |
|
TRY |
lire turque |
2,3180 |
|
AUD |
dollar australien |
1,2842 |
|
CAD |
dollar canadien |
1,2877 |
|
HKD |
dollar de Hong Kong |
9,7491 |
|
NZD |
dollar néo-zélandais |
1,6660 |
|
SGD |
dollar de Singapour |
1,6016 |
|
KRW |
won sud-coréen |
1 477,95 |
|
ZAR |
rand sud-africain |
10,5046 |
|
CNY |
yuan ren-min-bi chinois |
7,9542 |
|
HRK |
kuna croate |
7,5758 |
|
IDR |
rupiah indonésien |
11 828,69 |
|
MYR |
ringgit malais |
3,9460 |
|
PHP |
peso philippin |
54,789 |
|
RUB |
rouble russe |
39,7675 |
|
THB |
baht thaïlandais |
39,655 |
|
BRL |
real brésilien |
2,5565 |
|
MXN |
peso mexicain |
17,5421 |
|
INR |
roupie indienne |
69,8420 |
(1) Source: taux de change de référence publié par la Banque centrale européenne.
V Avis
PROCÉDURES ADMINISTRATIVES
Commission européenne
|
25.5.2012 |
FR |
Journal officiel de l'Union européenne |
C 147/18 |
Appel à propositions 2012 — Exercices au titre de l'instrument financier pour la protection civile et du mécanisme de protection civile
2012/C 147/04
|
1. |
La Commission européenne, direction générale «Aide humanitaire et protection civile», lance un appel à propositions en vue de répertorier les exercices susceptibles de bénéficier d’un soutien financier dans le cadre de la décision 2007/162/CE, Euratom du Conseil instituant un instrument financier pour la protection civile, adoptée le 5 mars 2007, et de la décision 2007/779/CE, Euratom du Conseil instituant un mécanisme communautaire de protection civile (refonte), adoptée le 8 novembre 2007. Le soutien financier sera apporté sous forme de subventions. |
|
2. |
Les domaines concernés, la nature et le contenu des propositions ainsi que les conditions de financement figurent dans le guide des demandes de subventions à consulter pour le domaine considéré, qui contient également des instructions détaillées relatives au lieu et à la date de présentation des propositions. Le guide ainsi que les formulaires de demande de subventions peuvent être téléchargés à partir du site internet Europa, à l’adresse suivante: http://ec.europa.eu/echo/funding/opportunities/proposals_fr.htm |
|
3. |
Les propositions doivent être envoyées à la Commission à l’adresse indiquée dans le guide des demandes de subventions, par la poste ou par un service de messagerie privé, au plus tard le 16 juillet 2012 (la date d’envoi, le cachet de la poste ou la date du récépissé de dépôt faisant foi). Elles peuvent également être remises en main propre à l’adresse indiquée dans le guide des demandes de subventions, au plus tard le 16 juillet 2012 à 17 h 00 (l’accusé de réception daté et signé par le fonctionnaire responsable faisant foi). Les propositions transmises par télécopie ou courrier électronique, les demandes incomplètes et les demandes envoyées en plusieurs parties ne seront pas acceptées. |
|
4. |
La procédure d’octroi des subventions est prévue comme suit:
Les bénéficiaires seront sélectionnés sur la base des critères définis dans le guide des demandes de subventions et dans les limites du budget disponible. En cas d’approbation par la Commission, une convention de subvention sera conclue entre la Commission et l’auteur de la proposition. La procédure est strictement confidentielle. |