Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA): développement

2010/0275(COD)

Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)

Le 30 septembre 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil concernant l’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information, visant à étendre son mandat et ses activités. Parmi les différentes options qui se présentaient à elle, la Commission a choisi de proposer une extension des responsabilités de l’ENISA et de faire des autorités chargées du respect de la loi et de la protection des données des membres à part entière de son groupe permanent des parties prenantes. La nouvelle liste des fonctions n’inclut pas les tâches opérationnelles, mais actualise et reformule les tâches actuelles.

Principales conclusions : l’évaluation globale de la proposition est positive et le CEPD se félicite de l’élargissement du mandat et des attributions de l’Agence grâce à l’implication des autorités de protection des données et des organismes chargés du respect de la loi en tant que parties prenantes de plein droit. Le CEPD estime que la continuité de l’Agence encouragera, au niveau européen, la gestion professionnelle et harmonisée des mesures de sécurité appliquées aux systèmes d’information.

Pour éviter toute incertitude juridique, le CEPD recommande que la proposition soit clarifiée quant à l’élargissement des tâches de l’Agence et en particulier de celles qui concernent la participation des organes répressifs et des autorités de protection des données. Par ailleurs, le CEPD attire l’attention sur la faille potentielle créée par l’inclusion, dans la proposition, d’une disposition permettant, par tout autre acte législatif de l’Union, d’ajouter de nouvelles attributions à l’Agence sans restrictions supplémentaires.

Le CEPD invite le législateur à préciser si les activités de l’ENISA incluront le traitement de données à caractère personnel et, si oui, lesquelles.

Il recommande par ailleurs d’inclure des dispositions concernant la mise en place d’une politique de sécurité pour l’Agence elle-même, afin de renforcer le rôle de cette dernière comme catalyseur de l’excellence en matière de pratiques de sécurité et comme promoteur du concept de privacy by design (respect de la vie privée dès la conception) en intégrant l’application des meilleures techniques disponibles dans le domaine de la sécurité, avec le respect des droits à la protection des données à caractère personnel.

Le CEPD invite en outre le législateur à remédier à certaines incohérences quant aux restrictions exprimées à l’article 14 en ce qui concerne la capacité de demander l’assistance de l’Agence. En particulier, le CEPD recommande que ces restrictions soient abandonnées et que tous les organes, institutions, bureaux et agences de l’Union puissent demander l’assistance de l’Agence.

Enfin, le CEPD recommande que les compétences élargies du conseil d’administration incluent certains aspects concrets pouvant accroître la garantie que l’Agence appliquera de bonnes pratiques de protection de la sécurité et des données. Entre autres, il est proposé d’inclure la nomination d’un délégué à la protection des données et l’approbation de mesures visant à assurer la bonne application du règlement (CE) n° 45/2001.