Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Droit des sociétés et gouvernement d'entreprise: interconnexion des registres centraux, du commerce et des sociétés

2011/0038(COD)

AVIS DU CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES sur la proposition de directive du Parlement européen et du Conseil modifiant les directives 89/666/CEE, 2005/56/CE et 2009/101/CE en ce qui concerne l’interconnexion des registres centraux, du commerce et des sociétés.

Le CEPD approuve les objectifs de la proposition et formule les observations suivantes :

Garanties essentielles de la protection des données : le CEPD estime que les garanties nécessaires de protection des données devraient être clairement et spécifiquement prévues directement dans le texte de la directive elle-même, étant donné qu’il les considère comme des éléments essentiels. Des dispositions supplémentaires concernant la mise en œuvre de garanties spécifiques pourraient ensuite être énoncées dans des actes délégués.

La proposition ne devrait pas laisser aux actes délégués le soin de déterminer les éléments essentiels de la façon dont elle souhaite réaliser i) l’interconnexion proposée des registres du commerce et ii) la publication des données. D’autres questions essentielles confiées aux actes délégués devraient également être examinées dans la proposition de directive, comme par exemple : i) les conditions de participation des pays hors Espace économique européen au réseau électronique; ii) les normes minimales de sécurité applicables au réseau électronique.

Le CEPD estime en outre qu’il convient de déterminer précisément quelles données à caractère personnel devraient être accessibles via la plateforme ou le point d’accès européen commun, et quelles garanties supplémentaires de protection des données - y compris des mesures techniques pour limiter la recherche ou les capacités de téléchargement et l’extraction de données  - devraient s’appliquer.

Gouvernance : pour l’instant, la proposition laisse aux actes délégués le soin de déterminer les règles concernant la gouvernance, la gestion, le fonctionnement et la représentation du réseau électronique. Le CEPD estime pour sa part que les questions de la gouvernance, des rôles, des compétences et des responsabilités doivent être examinées dans la proposition de directive. À cette fin, la proposition de directive devrait établir:

  • si le réseau électronique sera exploité par la Commission ou par un tiers et si sa structure sera centralisée ou décentralisée;
  • les tâches et responsabilités de chacune des parties participant au traitement de données et à la gouvernance du réseau électronique, y compris la Commission, les représentants des États membres, les titulaires de registres du commerce dans les États membres et tout tiers:
  • le rapport entre le système électronique prévu dans la proposition et d’autres initiatives telles que l’IMI, le portail e-Justice et l’EBR; et
  • des éléments spécifiques et non équivoques pour déterminer si tel ou tel acteur devrait être considéré comme un «responsable du traitement» ou un «sous-traitant».

Base juridique et droit applicable : toute activité de traitement des données utilisant le réseau électronique devrait être basée sur un instrument juridique contraignant tel qu’un acte spécifique de l’Union adopté sur une base juridique solide. Ce point devrait être clairement énoncé dans la proposition de directive. Un cadre et une base juridique pour les flux de données et les procédures de coopération administrative devraient être définis dans la proposition.

Les dispositions relatives au droit applicable devraient être précisées et inclure une référence au règlement (CE) n° 45/2001.

Transferts de données à caractère personnel vers les pays tiers : la proposition devrait préciser qu’en principe, et à l’exception de certains cas, les données peuvent être transférées à des entités ou des personnes dans un pays tiers n’assurant pas un niveau adéquat de protection lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants.

Par ailleurs, la Commission devrait examiner  les mesures techniques et organisationnelles à prendre pour s’assurer : i) que le respect de la vie privée et la protection des données sont «conçus» dans l’architecture du réseau électronique («respect de la vie privée dès la conception») et ii) que des contrôles adéquats sont mis en place pour veiller au respect de la protection des données et attester de ce respect («responsabilité»).

Le CEPD estime que la proposition de directive devrait :

  • indiquer clairement que le réseau électronique doit permettre : i) d’une part, des échanges manuels spécifiques de données entre les registres du commerce; et, ii) d’autre part, des transferts automatisés de données ;
  • être modifiée pour s’assurer que i) les actes délégués couvriront de manière exhaustive les échanges tant automatisés que manuels des données et que ii) tous les traitements susceptibles de porter sur des données à caractère personnel (et pas seulement le stockage et l’accès) sont couverts; et que iii) des dispositions particulières de protection des données dans les actes délégués garantiront également l’application pratique de garanties adéquates de protection des données;
  • modifier la directive 2009/101/CE afin de : i) préciser quelles sont les données à caractère personnel, le cas échéant, en sus des noms des personnes concernées qui doivent être publiées ; ii) préciser si les données concernant les actionnaires doivent être publiées. Ce faisant, la nécessité de transparence et d’identification exacte de ces personnes devrait être prise en considération et mise en balance avec la nécessité de protéger le droit à la protection des données à caractère personnel des personnes concernées;
  • préciser si les États membres pourront par la suite publier davantage d’informations via le portail commun (ou échanger davantage d’informations les uns avec les autres) sur la base de leurs propres législations nationales, sous réserve de garanties supplémentaires de protection des données;
  • énoncer clairement que les données à caractère personnel qui ont été rendues accessibles à des fins de transparence ne feront pas l’objet d’une utilisation abusive à d’autres fins isolées et qu’à cet effet, des mesures techniques et organisationnelles devraient être mises en œuvre, suivant le principe du respect de la vie privée dès la conception.

Enfin, la proposition devrait également inclure des garanties spécifiques en ce qui concerne l’obligation d’information des personnes concernées ainsi que l’obligation de définir les modalités d’un accord pour permettre aux personnes concernées de faire valoir leurs droits dans des actes délégués.