Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Communications électroniques: service universel, droits des utilisateurs de réseaux et services, données personnelles, protection de la vie privée, coopération en matière de protection des consommateurs. "Paquet Télécom"

2007/0248(COD)

DEUXIEME AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES relatif au réexamen de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques»).

Le 10 avril 2008, le CEPD a rendu un premier avis sur la proposition de la Commission dans lequel il a formulé des recommandations visant à l'améliorer afin que les modifications proposées aboutissent à la meilleure protection possible de la vie privée et des données à caractère personnel.

Le CEPD a accueilli favorablement plusieurs des amendements adoptés par le Parlement à la suite de l'avis et des observations du CEPD. Parmi les modifications importantes figuraient : a) la soumission des fournisseurs de services de la société de l'information (c'est-à-dire de sociétés fournissant des services via l'internet) à l'obligation de notifier des violations de la sécurité ; b) l'amendement permettant aux personnes morales et physiques d'intenter des actions en justice pour violation des dispositions de la directive «vie privée et communications électroniques».

En adoptant sa position commune, le Conseil a toutefois modifié des éléments essentiels du texte de la proposition et n’a pas repris certaines des modifications constructives présentées par le Parlement ou dans la proposition modifiée de la Commission ou les avis du CEPD. C'est pour ces raisons que le CEPD formule un deuxième avis, engageant le Parlement et le Conseil à rétablir les garanties en matière de protection de la vie privée. Par ailleurs, le CEPD est d'avis qu'il serait opportun de simplifier, d’améliorer et de clarifier certaines dispositions de la directive.

Les principaux éléments du deuxième avis du CEPD sont les suivants :

Violation de la sécurité. Le Parlement et le Conseil doivent s'efforcer d'établir un cadre législatif solide pour lutter contre les violations de la sécurité. À cette fin, ils devraient:

  • conserver la définition de la violation de la sécurité dans les textes du Parlement, du Conseil et de la Commission ;
  • s’agissant des entités auxquelles s'appliquera l'obligation de notification proposée, inclure les fournisseurs de services de la société de l'information ;
  • en ce qui concerne le critère du déclenchement de la notification («il y a des chances raisonnables pour que la violation porte préjudice»), s'assurer que la définition du terme «préjudice» est suffisamment générale pour couvrir tous les cas pertinents dans lesquels la violation a des effets négatifs sur la vie privée ou d'autres intérêts légitimes des personnes ;
  • instaurer un système selon lequel ce serait aux entités concernées d'évaluer si elles doivent ou non notifier les personnes ;
  • mettre en œuvre les garanties suivantes : i) veiller à ce que ces entités soient obligées de notifier aux autorités toutes les violations qui remplissent le critère requis; ii) attribuer aux autorités un rôle de supervision qui leur permette d'être sélectives pour être efficaces ; iii) adopter une nouvelle disposition obligeant les entités à tenir à jour une piste de vérification interne, détaillée et complète ;
  • donner à la Commission la possibilité d'adopter des mesures de mise en œuvre technique, après consultation préalable du CEPD, du groupe «Article 29» et des autres parties concernées ;
  • en ce qui concerne les destinataires des notifications, utiliser les termes «particuliers concernés» ou «utilisateurs concernés», car ces termes incluent toutes les personnes dont les données personnelles ont été compromises.

Réseaux privés accessibles au public. Le Parlement et le Conseil devraient :

  • conserver l'esprit de l'amendement 121 (élargissant le champ d'application de la directive pour y inclure les réseaux de communication publics et privés, ainsi que les réseaux privés accessibles au public) mais en reformuler le texte de manière à assurer que les réseaux purement privés (à l'inverse des réseaux privés accessibles au public) ne soient pas explicitement couverts par la directive;
  • modifier en ce sens toutes les dispositions opérationnelles de manière à ce qu'elles fassent explicitement référence, non seulement aux réseaux publics, mais aussi aux réseaux privés accessibles au public;
  • insérer une définition du « réseau privé accessible au public » de façon à améliorer la sécurité juridique en ce qui concerne les entités relevant du nouveau champ d'application;
  • adopter un nouveau considérant en vertu duquel la Commission organiserait une consultation publique sur l'application de la directive «vie privée et communications électroniques» à tous les réseaux privés, avec la participation du CEPD, du groupe «Article 29» et d'autres parties concernées.

Traitement des données relatives au trafic à des fins de sécurité : le Parlement a adopté en première lecture un amendement (article 6, paragraphe 6 bis) qui autorise le traitement des données relatives au trafic à des fins de sécurité. La position commune du Conseil en a adopté une nouvelle version qui affaiblit certaines des garanties en matière de protection de la vie privée. À cet égard, le CEPD recommande au Parlement et au Conseil:

  • de rejeter cet article dans sa totalité, car il est inutile et risquerait, en cas d'utilisation abusive, de mettre inutilement en péril la protection des données et de la vie privée des personnes;
  • toutefois, si une variante de la version actuelle de l'article 6, paragraphe 6 bis, devait être adoptée, de prévoir les garanties en matière de protection des données.

Recours en cas de violation de la directive «vie privée et communications électroniques». Le Conseil et le Parlement devraient adopter une disposition permettant aux entités juridiques, telles les associations de consommateurs et les associations commerciales, d'intenter des actions en justice en cas de violation des dispositions de la directive (et non seulement en cas de violation des dispositions contre le pourriel, comme le préconisent la position commune du Conseil et la proposition modifiée de la Commission).