Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Aviation civile: comptes rendus, analyse et suivi d'événements

2012/0361(COD)

Avis du Contrôleur européen de la protection des données (CEPD) sur la proposition de règlement de la Commission concernant les comptes rendus d’évènements dans l’aviation civile et abrogeant la directive 2003/42/CE, le règlement (CE) n° 1321/2007 de la Commission, le règlement (CE) n° 1330/2007 de la Commission et l’article 19 du règlement (UE) n° 996/2010.

La proposition de la Commission s’appuie sur la directive 2003/42/CE pour améliorer les systèmes existants de comptes rendus d’évènements dans l’aviation civile tant au niveau national qu’européen

Le CEPD prend acte du fait que la proposition ne vise pas à réglementer le traitement des données à caractère personnel. Cependant, les informations qui seront stockées, notifiées et transférées peuvent concerner des personnes physiques identifiables directement ou indirectement, telles que les notifiants, les tiers impliqués dans les comptes rendus des évènements et les parties intéressées demandant l’accès. L’information notifiée est susceptible de concerner non seulement les problèmes techniques, mais également, par exemple, les passagers violents, l’incapacité de l’équipage, ou les incidents de santé.

Le CEPD se réjouit de l’attention portée à la protection des données à caractère personnel, notamment par le biais de l’engagement «d’anonymiser» une majeure partie des données traitées au titre des comptes rendus d’évènements. Les dispositions prévues correspondent toutefois au mieux à une anonymisation partielle. C’est pourquoi le CEPD recommande de clarifier le champ d’application de «l'anonymisation». Il propose notamment de :

  • préciser qu’au sens de la proposition, l’anonymisation est relative et ne correspond pas à l’anonymisation complète ;
  • préciser que les données disponibles pour les gestionnaires indépendants devraient être également anonymisées ou effacées dès que possible, à moins que la nécessité de conserver les données soit justifiée ;
  • clarifier le champ d’application de l’anonymisation en remplaçant le terme «données à caractère personnel» par «informations personnelles» et en ajoutant une référence concernant la possibilité d’identification par le biais d’aspects techniques ;
  • préciser que l’information devrait également être anonymisée en ce qui concerne les systèmes de comptes rendus supplémentaires susceptibles d’être établis par les États membres et les organisations ;
  • préciser que l’information devrait être anonymisée avant sa publication;
  • spécifier que les informations mises à disposition des parties intéressées figurant à l'annexe III sans rapport avec l’équipement, les activités ou le domaine d’activité propres de la partie intéressée, devraient être non seulement agrégées ou rendues anonymes, mais complètement anonymisées.

Le CEPD conseille de préciser dans la proposition l’identité du responsable du traitement de chaque base de données et de définir toutes les catégories de données à traiter. Il devrait au moins être mentionné que les informations supplémentaires non exigées par la proposition ne devraient pas contenir des données sensibles.

Le CEPD recommande également de préciser la durée de conservation des données dans les bases de données, les droits des personnes concernées et les mesures de sécurité à mettre en œuvre.

Les mesures de protection applicables au traitement des données relatives aux tiers (par exemple, la durée de conservation des données après que l’accès a été accordé ou refusé et les bénéficiaires du droit d'accès auxdites données) devraient également être précisées.

Enfin, la nécessité de traiter des données sensibles devrait être motivée dans le préambule. Le CEPD recommande également d’adopter des garanties supplémentaires au regard du traitement des données sensibles, telles que des mesures de sécurité plus strictes, l'interdiction de communiquer les catégories de données concernées aux tiers ne relevant pas du droit européen sur la protection des données et la restriction de les communiquer aux autres parties intéressées.

En outre, le traitement de ces catégories de données pourrait être soumis au contrôle préalable par les autorités de protection des données nationales de l’UE et par le CEPD.