Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Protection des données à caractère personnel

1990/0287(COD)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la communication de la Commission au Parlement européen et au Conseil relative au suivi du programme de travail pour une meilleure mise en application de la directive sur la protection des données.

La communication de la Commission relative au suivi du programme de travail pour une meilleure mise en application de la directive sur la protection des données a été transmise au CEPD le 7 mars 2007. Le document rappelle l'importance de la directive 95/46/CE, qui constitue une étape importante dans la protection des données à caractère personnel, et examine la directive et sa mise en œuvre. Sa conclusion principale est qu'il n'y a pas lieu de modifier la directive, dont la mise en œuvre devrait encore être améliorée au moyen d'autres instruments, pour la plupart non contraignants.

Le CEPD souscrit à la conclusion principale de la Commission selon laquelle la directive ne devrait pas être modifiée. Les points de départ de son raisonnement sont les suivants: i) à court terme, il est plus opportun de se concentrer sur la mise en œuvre de la directive qui peut encore être améliorée considérablement ; ii) à plus long terme, des modifications de la directive semblent inévitables mais les principes essentiels demeureraient ; iii) il conviendrait de fixer dès à présent une date précise pour l'examen de la directive en vue de l'élaboration des propositions destinées à apporter les modifications susmentionnées, ce qui inciterait à entamer dès aujourd'hui la réflexion sur les changements futurs.

Les principaux aspects des modifications futures sont notamment les suivants:

  • il n'est pas nécessaire d'élaborer de nouveaux principes mais il faut prévoir d'autres arrangements administratifs,
  • le champ d'application étendu de la législation relative à la protection des données, applicable à toutes les utilisations des données à caractère personnel, ne devrait pas être modifié,
  • la législation relative à la protection des données devrait permettre d'adopter une approche équilibrée dans des cas concrets et aussi donner la possibilité aux autorités chargées de la protection des données de définir des priorités,
  • le système devrait s'appliquer intégralement à l'utilisation des données à caractère personnel à des fins répressives, tout en sachant que des mesures complémentaires peuvent s'avérer nécessaires pour répondre à des problèmes particuliers dans ce domaine.

La Commission est invitée à préciser les éléments suivants: i) un calendrier pour la réalisation des actions mentionnées dans la communication, ii) un délai pour la présentation ultérieure d'un rapport sur l'application de la directive, ii) un mandat permettant de mesurer le degré de réalisation des actions prévues et la manière de procéder à plus long terme.

Le CEDP accueille favorablement l'approche relative aux technologies, qui constitue une première étape importante, et suggère de lancer la discussion sur une approche à long terme, notamment un débat fondamental sur le développement d'une société de la surveillance.

Le CEPD regrette que les notions de respect de la vie privée à l'échelle mondiale et de compétence occupent une place limitée dans la communication. Il demande que soient mises en place des solutions pratiques conciliant la nécessité de protéger les citoyens européens concernés et les limitations territoriales de l'Union européenne et de ses États membres, notamment: i) le renforcement du cadre mondial pour la protection des données, ii) le perfectionnement du régime particulier applicable aux transferts de données vers des pays tiers, iii) la conclusion d'accords internationaux en matière de compétence ou d'accords similaires avec les pays tiers et iv) l'élaboration de mécanismes visant à assurer le respect des normes à l'échelle mondiale, notamment le recours à des règles d'entreprise contraignantes par les sociétés multinationales. Le CEPD invite la Commission à commencer à réfléchir à ce projet avec le plus grand nombre de parties prenantes intéressées.

Pour ce qui est de l'application de la législation, le CEPD fait les suggestions suivantes à la Commission:

  • se pencher davantage sur les implications de la participation de sociétés privées aux activités des services répressifs,
  • maintenir l'effet utile de l'article 13 de la directive, éventuellement en proposant des textes législatifs visant à harmoniser les conditions et garanties applicables aux exceptions prévues par cet article.

Une mise en œuvre complète de la directive signifie: i) qu'il faut veiller à ce que les États membres respectent intégralement les obligations qui leur incombent en vertu du droit européen; et ii) qu'il conviendrait de recourir à d'autres instruments, non contraignants, susceptibles de contribuer à un degré élevé et harmonisé de protection des données. Le CEPD demande à la Commission d'indiquer clairement comment elle entend utiliser ces différents instruments.

En ce qui concerne les instruments susmentionnés:

  • dans certains cas, l'adoption de mesures législatives spécifiques au niveau de l'UE peut s'avérer nécessaire,
  • la Commission est encouragée à veiller à une meilleure mise en œuvre en recourant à la procédure d'infraction,
  • la Commission est invitée à recourir à une communication interprétative pour les questions suivantes: i) le concept de données à caractère personnel, ii) la définition du rôle du responsable du traitement ou du sous-traitant, iii) la détermination de la loi applicable, iv) le principe de limitation de la finalité et les utilisations incompatibles, et v) les motifs juridiques justifiant le traitement, notamment en ce qui concerne le consentement sans équivoque et l'équilibre des intérêts,
  • les instruments non contraignants englobent ceux fondés sur la notion de «privacy by design» (prise en compte du respect de la vie privée lors de la conception),
  • également à plus long terme: i) les recours collectifs, ii) les recours formés par des personnes morales dont les activités visent à protéger les intérêts de certaines catégories de personnes, iii) l'obligation, pour les responsables du traitement, de signaler aux personnes concernées les infractions en matière de sécurité et iv) les dispositions facilitant l'utilisation des labels de protection de la vie privée ou la réalisation d'audits par des tiers dans un contexte transnational.

Le CEPD invite la Commission à présenter au groupe un document donnant des indications précises quant à la répartition des rôles entre la Commission et le groupe.