Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Sécurité de l'aviation civile: enquêtes et prévention des accidents et des incidents

2009/0170(COD)

AVIS du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil sur les enquêtes et la prévention des accidents et des incidents dans l’aviation civile.

Le CEPD se réjouit de l’application explicite du règlement sans préjudice de la directive 95/46/CE et, donc, dans une certaine mesure, de sa prise en compte des principes de protection des données. Toutefois, compte tenu du contexte dans lequel sont traitées les données à caractère personnel, il considère que de nouvelles dispositions particulières sont nécessaires pour garantir un traitement loyal. Cette nécessité est d’autant plus importante compte tenu des circonstances dans lesquelles sont traitées ces données: elles concerneront principalement des personnes directement ou indirectement touchées par un accident grave et/ou par la perte de proches. Cette situation plaide donc en faveur d’une véritable protection de leurs droits et d’une limitation stricte de la transmission ou de la publication de données à caractère personnel.

Dans la mesure où la proposition vise à permettre la conduite d’enquêtes sur des accidents ou incidents et où des données à caractère personnel ne sont pertinentes que si elles sont nécessaires dans le cadre de telles enquêtes, ces données devraient en principe être supprimées ou anonymisées dès que possible, et pas uniquement au stade du rapport final. Cela devrait être garanti par l’insertion d’une disposition horizontale dans le règlement.

Le CEPD recommande également de:

  • définir et limiter strictement les exceptions au principe de limitation des finalités : bien que cette limitation des finalités soit explicitement rappelée au début de la proposition, il est important qu’aucune dérogation ne vide ce principe de sa substance ;
  • fixer une durée limitée de conservation des données à caractère personnel : la proposition prévoit la nécessité de conserver des documents, éléments et enregistrements, pour des raisons évidentes liées à la conduite de l’enquête. Toutefois, la proposition ne fournit aucune indication quant à la durée de conservation de ces informations. Les données à caractère personnel devraient donc, en principe, être supprimées dès la fin de l’enquête ou conservées de façon anonyme si une suppression totale n’est pas possible. Tout motif justifiant de conserver plus longtemps des données identifiables devrait être indiqué et motivé, et s’accompagner de critères permettant de déterminer les personnes habilitées à conserver les données. Il conviendrait d’insérer une clause en ce sens dans la proposition, qui s’appliquerait de façon horizontale à toutes les informations à caractère personnel échangées sur le réseau.
  • garantir une procédure coordonnée pour l’accès aux données à caractère personnel, leur rectification et/ou leur suppression, en particulier dans le cadre de leur transmission à des États membres par l’intermédiaire du réseau : le CEPD se réjouit des mesures prévues en matière de confidentialité des informations, et en particulier de l’interdiction de divulgation d’informations considérées comme confidentielles par la Commission. S’agissant des informations à caractère personnel traitées par l’intermédiaire du réseau, le CEPD considère que ces mesures devraient être assorties d’une obligation de garantir l’exactitude de ces données et leur possible correction et suppression synchronisées par tous les membres du réseau impliqués dans le traitement de ces données à caractère personnel.
  • soumettre la transmission de données à caractère personnel aux représentants de pays tiers à la condition que ceux-ci présentent un niveau de protection adéquat : une clause pourrait être ajoutée à la proposition afin de rappeler qu’aucune donnée à caractère personnel ne peut être transférée aux représentants de pays tiers ne présentant pas un niveau de protection adéquat, sauf si certaines conditions sont réunies. Elle s’appliquerait en particulier au réseau, dans le cadre de l’article 8, et aux modalités de communication de renseignements, dans le cadre de l’article 18.
  • clarifier les rôles et responsabilités de la Commission et de l’AESA dans la perspective de l’application du règlement (CE) n° 45/2001 : le CEPD souhaite qu’il soit expliqué dans quelle mesure le réseau sera géré par la Commission et par l’intermédiaire de l’infrastructure technique de l’Union européenne. Si l’objectif est d’utiliser un réseau existant, tout projet visant à permettre l’interopérabilité avec des bases de données existantes doit être mentionné explicitement et motivé. Le CEPD souligne la nécessité de fournir un réseau sûr, accessible uniquement aux fins décrites dans la proposition et aux parties prenantes habilitées. Les rôles et responsabilités respectifs de la Commission et de l’AESA, ainsi que de tout autre organe de l’Union impliqué dans la gestion du réseau, devraient être clarifiés pour des raisons de sécurité juridique.