Introduction
Dans mes remarques finales lors de la conférence sur les ordinateurs, la protection des données et la vie privée (CPDP) en janvier 2021, j’ai partagé avec les participants mes sentiments d’espoir. L’espoir que nous sortirons de la solitude des confinements, avec une expérience commune et partagée d’avoir traversé cette épreuve les uns pour les autres; que la solidarité que nous avons vécue nous rendra plus forts en tant que société; et que cette expérience partagée est un élément sur lequel nous nous appuierons à l’avenir.
À l’heure où j’écris ces mots, en essayant de penser à l’année écoulée, il m’est difficile de ne pas penser au présent Dans les atrocités de la guerre, comme dans la tragédie de la pandémie, nous voyons comment la solidarité nous rapproche et nous aide à surmonter les heures les plus sombres.
Ce n’est pas une coïncidence si la solidarité est l’un des principaux piliers de la stratégie 2020-2024 du CEPD. Je suis fier qu’en 2021, nos paroles aient été suivies d’actes. Notre supervision des institutions, organes et agences de l’UE (institutions de l’UE) repose sur une profonde conviction que des normes élevées de conformité juridique des autorités publiques de l’UE sont une condition nécessaire à leur efficacité. Une administration efficace est une administration qui respecte l’état de droit et agit sur la base de la loi, et non en la contournant.
Le CEPD est déterminé à soutenir les institutions de l’UE dans cette entreprise. Nous constatons avec satisfaction, comme l’attestent les inspections à distance, les lignes directrices et les formations, le niveau général élevé de conformité aux principes de protection des données en ce qui concerne les mesures prises pour lutter contre la pandémie.
La décision du CEPD d’ordonner à Europol de supprimer des ensembles de données sans liens établis avec des activités criminelles devrait également être considérée dans le contexte de notre respect de l’état de droit et d’un système mature des pouvoirs et contre-pouvoirs. Le CEPD souhaite des institutions européennes fortes. Toutefois, cette force ne peut reposer que sur le plein respect du mandat qui leur a été confié par le législateur de l’Union. Aucun autre fondement ne peut produire de résultats à long terme.
Dans le domaine des conseils stratégiques, parmi les exemples qui figurent dans le rapport annuel 2021, nos efforts se reflètent dans les avis que nous avons rendus sur un certain nombre d’initiatives des législateurs de l’UE qui ont une incidence sur la protection des données à caractère personnel des personnes physiques, telles que la législation sur les services numériques ou la législation sur les marchés numériques. Nos avis reposent sur la conviction que les données générées en Europe sont converties en valeur pour les entreprises et les particuliers européens, et traitées selon les valeurs européennes, afin de façonner un avenir numérique plus sûr.
Le CEPD a toujours été une institution qui regarde au-delà du paysage des institutions européennes. Nous nous engageons à faire réussir l’UE dans le domaine des droits fondamentaux au respect de la vie privée et à la protection des données. En ce qui concerne l’avenir, convaincus que le succès du règlement général sur la protection des données (RGPD) relève également de notre responsabilité, nous avons poursuivi notre participation active aux travaux du Comité européen de la protection des données (EDPB), comme en témoigne le nombre d’initiatives que nous avons proposées ou auxquelles nous avons participé.
Par-dessus tout, nous considérons l’Union européenne comme une communauté définie par des valeurs et non par des frontières. Pour le CEPD, cette conviction est une motivation pour poursuivre nos efforts.
Nous espérons que cette conviction sera partagée plus largement dans l’ensemble de l’Union européenne.
Je dédie le rapport annuel 2021 au personnel du CEPD que je ne saurais trop remercier pour son travail.
Wojciech Wiewiórowski
European Data Protection Supervisor
Ce chapitre présente les principales activités et réalisations du CEPD en 2021.
TEMPS FORTS DE L’ANNÉE 2021
1.1Transfert international des données à caractère personnel
À la suite de l’arrêt Schrems II de la Cour de justice de l’Union européenne, le CEPD a poursuivi et lancé diverses activités et initiatives dans le cadre de la stratégie du CEPD pour les institutions de l’UE visant à se conformer à l’arrêt «Schrems II» (stratégie Schrems II du CEPD), publié le 29 octobre 2020.
La stratégie vise à garantir et à contrôler la conformité des institutions de l’UE avec l’arrêt concernant les transferts de données à caractère personnel en dehors de l’UE et de l’Espace économique européen (EEE), en particulier aux États-Unis d’Amérique. Dans le cadre de la stratégie, nous poursuivons trois types d’actions: des enquêtes; des autorisations et travaux de conseil; et des orientations générales pour aider les institutions à s’acquitter de leur obligation de rendre compte.
En mai 2021, nous avons notamment lancé deux enquêtes: l’une sur l’utilisation des services en nuage fournis par Amazon Web Services et Microsoft dans le cadre de contrats Cloud II conclus par les institutions de l’UE, et l’autre sur l’utilisation de Microsoft Office 365 par la Commission européenne. Par ces enquêtes, le CEPD vise à aider les institutions de l’UE à améliorer leur respect de la protection des données lors de la négociation de contrats avec leur prestataire de services.
En outre, nous avons publié un certain nombre de décisions relatives aux transferts de données à caractère personnel vers des pays ne faisant pas partie de l’Union européenne/l’EEE. Nos décisions sont fondées sur l’évaluation de la question de savoir si les outils que l’institution de l’UE en question envisage d’utiliser pour transférer des données à caractère personnel en dehors de l’UE/EEE offrent un niveau de protection des données à caractère personnel des personnes physiques substantiellement équivalent à celui de l’UE/EEE.
1.2
COVID-19 et protection des données:
nos efforts se poursuivent
Tout au long de l’année 2021, le CEPD a continué de surveiller la pandémie de COVID-19 et son incidence sur la protection des données par l’intermédiaire de son groupe de travail consacré à la COVID-19 spécifique, créé initialement en 2020. En tant qu’autorité chargée de la protection des données des institutions de l’UE et en tant qu’employeur nous-mêmes, nous avons élaboré des lignes directrices et d’autres initiatives visant à soutenir les institutions de l’UE dans leurs activités de traitement au cours de cette période.
Alors que les institutions de l’UE ont élaboré des stratégies pour leur retour au bureau, nous avons publié, le 9 août 2021, des lignes directrices intitulées Retour sur le lieu de travail et dépistage par les institutions de l’UE de l’immunité ou de l’infection à la COVID. Nos lignes directrices comprennent des recommandations sur toute une série de questions, telles que l’utilisation éventuelle par les institutions de l’UE des résultats des tests de dépistage de l’antigène COVID, l’utilisation du statut vaccinal des employés et les certificats COVID de l’UE.
En raison de l’évolution dynamique de la pandémie de COVID-19, les institutions de l’UE doivent constamment adapter leurs processus. Dès lors, nous avons mené une enquête auprès de toutes les institutions de l’UE sur la manière dont elles ont modifié ou développé de nouvelles opérations de traitement en raison de la COVID-19. L’enquête comprenait une question sur les nouvelles opérations de traitement des institutions de l’UE; les outils informatiques mis en place ou améliorés des institutions de l’UE pour permettre le télétravail; et les nouvelles opérations de traitement mises en place par les institutions de l’UE chargées des tâches liées à la santé publique. Les résultats de l’enquête, partagés avec les délégués à la protection des données des institutions de l’UE et ultérieurement avec le public, alimenteront la mise à jour des lignes directrices existantes du CEPD ou contribueront à l’élaboration de nouvelles lignes directrices, en fonction de l’évolution de la pandémie et des nouvelles pratiques qui se poursuivront une fois celle-ci terminée.
Nous avons également jugé nécessaire de dispenser une formation sur l’utilisation des médias sociaux, des outils de travail à distance et d’autres outils des TIC utilisés par les institutions de l’UE, en raison de l’utilisation croissante de ces outils pour se connecter tant en interne qu’avec leur public pendant la pandémie de COVID-19. Au cours de nos sessions de formation, nous avons souligné que l’utilisation des médias sociaux et des outils de vidéoconférence devrait être considérée comme tout autre outil des TIC lors de l’évaluation de leurs implications en matière de protection des données et de l’adoption des mesures nécessaires pour garantir la protection de la vie privée des personnes. Le respect du cadre de l’UE en matière de protection des données dans ce contexte a été régulièrement vérifié par le CEPD.
1.3
Contrôle de l’espace de liberté,
de sécurité et de justice
Tout au long de l’année 2021, le CEPD a continué de surveiller la pandémie de COVID-19 et son incidence sur la protection des données par l’intermédiaire de son groupe de travail consacré à la COVID-19 spécifique, créé initialement en 2020. En tant qu’autorité chargée de la protection des données des institutions de l’UE et en tant qu’employeur nous-mêmes, nous avons élaboré des lignes directrices et d’autres initiatives visant à soutenir les institutions de l’UE dans leurs activités de traitement au cours de cette période.
Alors que les institutions de l’UE ont élaboré des stratégies pour leur retour au bureau, nous avons publié, le 9 août 2021, des lignes directrices intitulées Retour sur le lieu de travail et dépistage par les institutions de l’UE de l’immunité ou de l’infection à la COVID. Nos lignes directrices comprennent des recommandations sur toute une série de questions, telles que l’utilisation éventuelle par les institutions de l’UE des résultats des tests de dépistage de l’antigène COVID, l’utilisation du statut vaccinal des employés et les certificats COVID de l’UE.
En raison de l’évolution dynamique de la pandémie de COVID-19, les institutions de l’UE doivent constamment adapter leurs processus. Dès lors, nous avons mené une enquête auprès de toutes les institutions de l’UE sur la manière dont elles ont modifié ou développé de nouvelles opérations de traitement en raison de la COVID-19. L’enquête comprenait une question sur les nouvelles opérations de traitement des institutions de l’UE; les outils informatiques mis en place ou améliorés des institutions de l’UE pour permettre le télétravail; et les nouvelles opérations de traitement mises en place par les institutions de l’UE chargées des tâches liées à la santé publique. Les résultats de l’enquête, partagés avec les délégués à la protection des données des institutions de l’UE et ultérieurement avec le public, alimenteront la mise à jour des lignes directrices existantes du CEPD ou contribueront à l’élaboration de nouvelles lignes directrices, en fonction de l’évolution de la pandémie et des nouvelles pratiques qui se poursuivront une fois celle-ci terminée.
Nous avons également jugé nécessaire de dispenser une formation sur l’utilisation des médias sociaux, des outils de travail à distance et d’autres outils des TIC utilisés par les institutions de l’UE, en raison de l’utilisation croissante de ces outils pour se connecter tant en interne qu’avec leur public pendant la pandémie de COVID-19. Au cours de nos sessions de formation, nous avons souligné que l’utilisation des médias sociaux et des outils de vidéoconférence devrait être considérée comme tout autre outil des TIC lors de l’évaluation de leurs implications en matière de protection des données et de l’adoption des mesures nécessaires pour garantir la protection de la vie privée des personnes. Le respect du cadre de l’UE en matière de protection des données dans ce contexte a été régulièrement vérifié par le CEPD.
Supervision d’Europol
Parmi nos activités notables dans l’espace de liberté, de sécurité et de justice, citons nos activités de contrôle concernant le traitement des données à caractère personnel par Europol, l’Agence de l’UE pour la coopération des services répressifs.
En particulier, nous avons contrôlé Europol en ce qui concerne son utilisation des outils d’apprentissage automatique, un contrôle que nous avons commencé en 2019. Conformément à notre stratégie, nos travaux se sont concentrés, et continuent de se concentrer, sur l’utilisation de données opérationnelles pour le développement, y compris la formation, les essais, la validation et l’utilisation de modèles d’apprentissage automatique à des fins de science des données. Notre travail de supervision a consisté en une enquête d’initiative, suivie d’une consultation préalable que nous avons publiée en février 2021, ce qui nous a conduit à émettre un avis sur 21 recommandations qu’Europol devrait suivre afin d’éviter d’éventuelles violations du règlement Europol. Notre avis suggérait notamment qu’Europol mette en place un cadre de gouvernance interne afin de veiller à ce que, lors de l’élaboration de modèles d’apprentissage automatique, l’agence recense les risques que l’utilisation de ces technologies innovantes fait peser sur les libertés et les droits fondamentaux, même si elle n’est pas toujours en mesure de les atténuer, sur la base de l’état actuel de la technique. Le développement et l’utilisation de ces modèles ont également été l’un des thèmes de l’inspection annuelle d’Europol en septembre 2021. L’inspection a porté sur le processus de développement d’outils d’apprentissage automatique d’Europol et sur le processus connexe d’évaluation des risques en matière de protection des données.
Une autre partie importante de nos travaux en 2021 a concerné notre enquête sur le traitement par Europol de grands ensembles de données, initialement lancée en 2019. En décembre 2021, nous avons décidé de faire usage de nos pouvoirs d’application des mesures correctrices en ordonnant à Europol de supprimer des données concernant des personnes n’ayant pas de lien établi avec une activité criminelle (catégorisation des personnes concernées). Plus précisément, nous imposons à Europol un délai de conservation de six mois pour filtrer et extraire les données à caractère personnel et un délai de 12 mois pour se conformer à la décision du CEPD. Cette décision intervient après que le CEPD a critiqué Europol en septembre 2020 pour la poursuite du stockage d’importants volumes de données sans catégorisation des personnes concernées, ce qui constitue un risque pour les droits fondamentaux des personnes.
Supervision d’Eurojust
En 2021, le CEPD a continué de travailler en étroite collaboration avec le délégué à la protection des données (DPD) et d’autres membres du personnel opérationnel d’Eurojust, l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale, en leur fournissant des conseils informels en cas de besoin.
À la suite de l’adoption de l’accord de commerce et de coopération entre l’UE et le Royaume-Uni, nous avons contribué à l’ajustement des relations d’Eurojust avec les autorités britanniques compétentes. Le CEPD a fourni des conseils sur des questions pratiques relatives à la protection des données et a émis des avis sur les modalités de travail entre Eurojust et le ministère des Affaires intérieures britannique (Home Office).
Notre premier audit des activités d’Eurojust en matière de protection des données, initialement prévu pour 2020 et reporté en raison de la pandémie, a eu lieu en octobre 2021. L’audit du CEPD s’est concentré sur le traitement des données opérationnelles à caractère personnel par Eurojust et a porté sur les transferts de données dans le cadre des relations extérieures d’Eurojust, le fonctionnement du registre de la lutte contre le terrorisme et la sécurité des données, et l’utilisation et l’exécution du système de gestion des dossiers d’Eurojust, en particulier. À la suite de la visite sur place du CEPD dans le cadre de l’audit, nous avons constaté que, dans l’ensemble, le respect par Eurojust du cadre de protection des données a été satisfaisant et aucun problème de conformité critique n’a été soulevé.
Supervision du Parquet européen
Le Parquet européen, l’organe européen indépendant habilité à enquêter sur les infractions pénales portant atteinte aux intérêts financiers de l’UE et à engager des poursuites en la matière, est devenu opérationnel en juin 2021.
À cette fin, nos travaux et nos efforts en 2021 se sont concentrés sur le soutien à la mise en place du Parquet européen avant qu’il devienne opérationnel. Pour une collaboration efficace, le Contrôleur a rencontré la cheffe du Parquet européen, Mme Laura Kövesi, afin de discuter de leur coopération actuelle et future.
Supervision de Frontex
En 2021, nous avons également soutenu les activités de Frontex, l’Agence européenne de garde-frontières et de garde-côtes, qui contribue à la gestion efficace des frontières européennes.
Nous avons fourni des orientations sur les activités de Frontex visant à aider les États membres de l’UE lorsque des migrants de retour, qui ne remplissent pas les conditions de séjour dans l’UE, sont renvoyés dans leur pays d’origine. Nous avons notamment donné nos conseils sur les outils techniques utilisés par Frontex et les États membres de l’UE dans ce contexte, et nous avons formulé des conseils sur les transferts de données à caractère personnel concernant ces migrants par Frontex vers des pays tiers.
1.4
Façonner l’avenir numérique de l’Europe
Comme indiqué dans notre stratégie 2020-2024 du CEPD, nous apprécions les initiatives dans lesquelles les données générées en Europe sont converties en valeur pour les entreprises et les particuliers européens, et traitées selon les valeurs européennes, afin de façonner un avenir numérique plus sûr. Entre autres exemples, qui figurent dans le rapport annuel 2021, nos efforts se reflètent dans les avis que nous avons rendus sur un certain nombre d’initiatives des législateurs de l’UE qui ont une incidence sur la protection des données à caractère personnel des personnes physiques.
La législation sur les marchés numériques et la législation sur les services numériques
En février 2021, le CEPD a publié deux avis, l’un sur la législation sur les marchés numériques et l’autre sur la législation sur les services numériques de l’UE.
Nous nous sommes félicités de la proposition de législation sur les services numériques qui vise à promouvoir un environnement en ligne transparent et sûr. Nous avons recommandé la mise en place de mesures supplémentaires pour mieux protéger les personnes en ce qui concerne la modération des contenus, la publicité ciblée en ligne et les systèmes de recommandation utilisés par les plateformes en ligne, telles que les médias sociaux et les places de marché.
En ce qui concerne la législation sur les marchés numériques, nous avons souligné l’importance de promouvoir des marchés numériques concurrentiels, afin que les particuliers disposent d’un choix plus large de plateformes et de services en ligne qu’ils peuvent utiliser.
Intelligence artificielle
En juin 2021, avec le Comité européen de la protection des données (EDPB), nous avons publié un avis conjoint sur la proposition de la Commission européenne relative à la législation sur l’intelligence artificielle. En gardant à l’esprit le droit à la vie privée et la sécurité des personnes, nous avons demandé une interdiction générale de toute utilisation de l’IA pour la reconnaissance automatique des caractéristiques humaines dans les espaces accessibles au public.
La stratégie de cybersécurité de l’UE
En mars 2021, nous avons publié un avis sur la proposition de directive SRI 2.0 présentée par le législateur de l’UE, qui vise à remplacer la directive existante sur la sécurité des réseaux et des systèmes d’information (SRI) et s’inscrit dans le cadre de la stratégie de cybersécurité de l’UE. Dans notre avis, nous avons souligné qu’il était essentiel que la protection de la vie privée et des données soit intégrée dans la proposition de directive et dans toutes les initiatives futures découlant de la stratégie de cybersécurité de l’UE. Cela permettra une approche globale de la gestion des risques en matière de cybersécurité et de la protection des données à caractère personnel des personnes.
Le certificat vert numérique
En avril 2021, avec l’EDPB, nous avons adopté un avis conjoint sur les propositions de certificat vert numérique. Le certificat vert numérique vise à faciliter l’exercice du droit à la libre circulation au sein de l’UE pendant la pandémie de COVID-19 en établissant un cadre commun pour la délivrance, la vérification et l’acceptation de certificats interopérables de vaccination contre la COVID-19, de réalisation d’un test de dépistage de cette maladie et de rétablissement de celle-ci.
Par cet avis conjoint, nous avons invité les colégislateurs à veiller à ce que le certificat vert numérique soit pleinement conforme à la législation de l’UE en matière de protection des données à caractère personnel. Dans notre avis conjoint, nous avons souligné que l’utilisation du certificat vert numérique ne peut en aucun cas donner lieu à une discrimination directe ou indirecte des personnes et doit être pleinement conforme aux principes fondamentaux de nécessité, de proportionnalité et d’efficacité.
1.5
Une augmentation des consultations législatives
Depuis l’entrée en vigueur du règlement relatif à la protection des données pour les institutions de l’Union européenne, le règlement (UE) 2018/1725, le nombre de consultations législatives a considérablement augmenté.
En 2021, le CEPD a répondu à 88 consultations législatives formelles, contre 27 en 2020. Les 88 consultations législatives comprennent 12 avis et 76 observations formelles, en plus de 5 avis conjoints émis avec l’EDPB.
Cette forte augmentation peut s’expliquer par plusieurs facteurs.
Il y a eu un plus grand nombre d’initiatives législatives contenant des dispositions ayant une incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel. Par conséquent, un plus grand nombre d’institutions et d’organisations de l’UE ont contacté le CEPD pour une consultation législative.
Cette augmentation est également due au renforcement du rôle consultatif du CEPD au titre de l’article 42 du règlement (UE) 2018/1725, qui impose clairement à la Commission européenne de nous consulter sur les propositions législatives et autres propositions ayant une incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel.
Entre autres facteurs, les services de la Commission européenne sont de plus en plus sensibilisés aux questions de protection des données. Cette sensibilisation croissante s’explique à la fois par les actions de sensibilisation entreprises par le CEPD et par les clarifications apportées en interne par la Commission européenne.
En 2021, le CEPD a émis une série d’avis importants sur trois thèmes, en particulier: les plateformes numériques, les services financiers, la justice et les affaires intérieures.
Nos avis conjoints avec l’EDPB portent notamment sur l’intelligence artificielle, le certificat vert numérique et les clauses contractuelles types, pour ne citer que quelques exemples.
Nos principales observations formelles publiées en 2021 concernent, entre autres, la justice et les affaires intérieures et le paquet «Union européenne pour la santé».
1.6
Plaidoiries devant la Cour de justice de l’Union européenne
Tout au long de l’année 2021, le CEPD a participé à quatre auditions devant la Cour de justice de l’Union européenne (CJUE) sur différentes questions. Nos interventions dans des affaires pendantes devant la CJUE sont l’une des manières concrètes de remplir notre rôle consultatif. Dans nos interventions, nous pouvons mettre en évidence des questions spécifiques en matière de protection des données afin de garantir le respect des droits fondamentaux des personnes au respect de la vie privée et à la protection des données.
Données des dossiers passagers (données PNR)
En juillet 2021, le CEPD a répondu aux questions écrites de la CJUE et a participé à une audition dans une affaire concernant la validité et l’interprétation de la directive 2016/681 de l’UE relative à l’utilisation des données des dossiers passagers (PNR), qui comprennent les détails de réservation des passagers lors de voyages, pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (affaire C-817/19).
La plaignante qui a saisi la Cour constitutionnelle belge, la Ligue des droits humains (une organisation non gouvernementale belge), a fait valoir que la loi belge relative aux PNR, qui a transposé la directive PNR, portait illégalement atteinte au droit des particuliers au respect de la vie privée et à la protection de leurs données à caractère personnel. La plaignante a considéré, en particulier, que les opérations de traitement des données des personnes physiques qu’elle impliquait n’étaient ni nécessaires ni proportionnées au regard des critères énoncés dans la législation en matière de protection des données.
Au cours de l’audition, le CEPD a souligné la nécessité de mettre en place des garanties efficaces pour atténuer les risques découlant du traitement des données PNR, compte tenu de leur grande échelle ainsi que de leur nature systématique et intrusive. Le CEPD a également exprimé des doutes quant à la compatibilité du traitement des données PNR provenant de vols intra-UE et d’autres moyens de transport public transfrontières intra-UE avec les traités et la Charte des droits fondamentaux de l’UE.
Conservation des données
En septembre 2021, le CEPD a participé à deux auditions de la CJUE dans des affaires concernant la conservation des données.
La première audition a porté sur la compatibilité des législations allemande et irlandaise sur la conservation des données à caractère personnel à des fins répressives avec l’article 15 de la directive «vie privée et communications électroniques», qui régit les limitations des droits des personnes au respect de la vie privée et à la protection des données à caractère personnel dans les communications électroniques (C-793/19, C-794/19 et C-140/20).
Au cours de l’audition, le CEPD a réaffirmé qu’il serait possible d’envisager une législation claire et précise prévoyant un régime limité mais efficace pour la conservation et l’accès aux données relatives au trafic et aux données de localisation des communications électroniques, y compris les données des utilisateurs qui, à première vue, n’ont aucun lien objectif avec l’objectif poursuivi, d’une manière compatible avec la Charte des droits fondamentaux de l’Union européenne, et que la conservation et l’accès aux données stockées ne devraient pas être considérés de manière imperméable les uns des autres.
La deuxième audition concernait deux affaires françaises relatives à l’utilisation de la conservation de données pour enquêter sur les opérations d’initiés et les manipulations de marché au titre de la directive européenne sur les abus de marché et du règlement sur les abus de marché (C-339/20 et C-397/20). L’une des questions en jeu était de savoir si cette législation permet au législateur national d’exiger la conservation générale des données à caractère personnel afin de permettre aux autorités compétentes d’accéder à ces données lorsqu’elles enquêtent sur des opérations d’initiés et des manipulations de marché.
Lors de l’audition, le CEPD a estimé que ces dispositions ne visaient pas à établir une base juridique en matière de conservation des données.
Lutte contre le blanchiment de capitaux
En octobre 2021, le CEPD a participé à une audition de la CJUE dans une affaire concernant la directive 2018/843 de l’UE relative à la prévention du blanchiment de capitaux et du financement du terrorisme (C-601/20). Plus précisément, l’audition a porté sur la manière d’interpréter les dispositions pertinentes de cette directive de l’Union concernant le régime d’accès du public aux informations sur les bénéficiaires effectifs et sur la conformité de cette interprétation avec la Charte des droits fondamentaux de l’Union européenne et le règlement général sur la protection des données.
Conformément à notre avis sur la lutte contre le blanchiment de capitaux publié en septembre 2021, nous avons fait valoir que l’accès du grand public aux informations sur les bénéficiaires effectifs, comme le prévoit la directive, n’est ni nécessaire ni proportionné.
1.7
Une nouvelle initiative, TechSonar
L’une des réalisations du CEPD en 2021 a été le lancement d’une nouvelle initiative, TechSonar, au mois de septembre.
Avec notre rapport TechSonar, nous entendons anticiper les tendances technologiques émergentes afin de mieux comprendre leurs évolutions futures, en particulier leurs implications potentielles pour la protection des données et la vie privée des personnes.
Cette nouvelle initiative intervient après quelques réflexions au sein du CEPD. La pandémie de COVID-19, entre autres facteurs, a accéléré l’évolution technologique, avec l’apparition de nouvelles technologies et de nouveaux outils. Souvent, nous ignorons quelles seront les principales utilisations réelles de ces technologies tant qu’elles ne seront pas appliquées dans des contextes spécifiques. Ce n’est qu’alors que nous sommes en mesure de comprendre la valeur et les risques que ces technologies peuvent présenter pour la société. À cette fin, le CEPD est fermement convaincu qu’il est nécessaire d’agir à l’avance, ce qui signifie qu’au lieu de réagir aux nouvelles technologies émergentes lorsque leur valeur ajoutée et leurs risques pour la société sont déjà développés, nous devrions être en mesure d’anticiper leur évolution. Cela nous permettrait de veiller à ce que ces technologies soient développées, dès les premiers stades de leur conception, dans le respect des droits fondamentaux des personnes, y compris les droits au respect de la vie privée et à la protection des données.
À la lumière de ce qui précède, TechSonar est un processus qui vise à donner au CEPD les moyens d’analyser en permanence le domaine technologique dans le but de sélectionner les tendances technologiques que nous prévoyons pour l’année suivante.
Avec TechSonar, nous sommes en mesure et nous continuerons de déterminer quelles technologies méritent d’être surveillées aujourd’hui afin d’être prêts pour un avenir numérique plus durable, dans lequel la protection des données à caractère personnel est garantie de manière efficace.
Dans notre premier rapport TechSonar de 2021, notre équipe d’experts internes a choisi d’examiner les six tendances technologiques prévues suivantes: certificats de vaccination intelligents; données synthétiques; monnaie numérique de la Banque centrale; Just walk out technology; authentification biométrique continue; thérapies numériques.
1.8
Ressources humaines, budget et administration
Tout au long de l’année 2021, l’unité «Ressources humaines, budget et administration» (HRBA) du CEPD a apporté son soutien à la direction et aux équipes opérationnelles du CEPD. L’objectif est de veiller à ce qu’elles disposent des ressources et des outils financiers, humains et administratifs suffisants pour atteindre les objectifs fixés dans la stratégie 2020-2024 du CEPD.
Gestion de la pandémie de COVID-19
Parmi les travaux et initiatives menés en 2021, l’unité HRBA a mis en place une stratégie interne pour un retour progressif et en toute sécurité dans les locaux du CEPD, conforme aux mesures de lutte contre la COVID-19 prises par la Belgique et à celles adoptées par les autres institutions de l’UE. À ce titre, l’unité HRBA a orchestré le retour dans les bureaux du CEPD par étapes au cours de la pandémie, selon des modalités de travail et des règles en matière de santé et de sécurité spécifiques.
Bien-être au travail
En tant qu’organisation, nous mettons l’accent sur la création d’une incidence positive sur notre société. L’une de nos valeurs fondamentales est de traiter les individus, y compris notre personnel, avec respect. Afin de mettre en place un environnement de travail positif, respectueux et sûr, l’unité HRBA a poursuivi un certain nombre d’initiatives, déjà lancées en 2021, visant à garantir un niveau élevé de bien-être au travail au sein du personnel du CEPD, en travaillant en étroite collaboration avec le coordinateur du bien-être du CEPD.
Recrutement d’experts en protection des données
L’une des priorités définies dans notre stratégie 2020-2024 du CEPD est d’investir dans la gestion des connaissances afin de garantir la plus haute qualité de notre travail et de recruter une main-d’œuvre diversifiée, interdisciplinaire et talentueuse. À ce titre, en 2021, nous avons concentré nos efforts sur le recrutement d’experts en protection des données afin de répondre aux besoins du CEPD.
Adaptation de nos conditions de travail
Les changements dans notre environnement de travail provoqués par la pandémie et le régime de télétravail à temps plein ont nécessité une réflexion approfondie sur l’adaptation de nos conditions de travail. Nous avons pris en considération des facteurs tels que le temps de travail, le travail hybride et le télétravail depuis l’étranger. L’unité HRBA a entamé cette réflexion et proposera de nouvelles règles, qui seront examinées et approuvées par notre comité du personnel. L’objectif est d’adopter ces règles d’ici la mi-2022.
L’avenir: création de la Maison européenne de la protection des données
Le CEPD et l’EDPB sont devenus les seuls occupants des locaux actuels à Bruxelles à la suite du départ du Médiateur européen à la fin du mois d’octobre 2021. Cela a ouvert la voie à la création et à l’établissement de nos locaux en tant que «Maison européenne de la protection des données», dans le but de devenir le centre de l’UE basé à Bruxelles pour la protection de la vie privée et des données personnelles. Ce projet a débuté en 2021 et se poursuivra tout au long de l’année 2022.
1.9
Activités de communication du CEPD
L’intérêt du public pour la protection des données et l’engagement dans ce domaine ainsi que le travail des autorités chargées de la protection des données (APD) continuent de croître, d’autant plus que la numérisation croissante de la vie quotidienne des individus se fait de plus en plus sentir. Les personnes sont de plus en plus conscientes et concernées par leur empreinte numérique et par l’importance de protéger leurs données à caractère personnel. Le secteur de l’information et de la communication du CEPD (secteur I&C) vise donc à faire en sorte que les activités et les messages du CEPD parviennent aux publics concernés au bon moment.
Le rôle du secteur I&C, renforcé dans la stratégie 2020-2024 du CEPD, est d’expliquer et de promouvoir le travail du CEPD. Nous nous engageons ainsi à rendre les questions relatives à la protection des données, en particulier l’incidence que les opérations et les technologies de traitement pourraient avoir sur les personnes et leurs données à caractère personnel, plus accessibles à un large public en fournissant des informations sur le travail quotidien du CEPD dans un langage clair et au moyen d’outils de communication appropriés.
À cette fin, nos travaux en 2021 se sont concentrés sur le développement et la modernisation de l’identité visuelle du CEPD. Avec notre nouvelle identité visuelle, nous avons pour objectif de refléter le rôle du CEPD en tant que chef de file mondial en matière de protection des données et de la vie privée, non seulement dans l’UE, mais aussi au-delà, et de marquer une nouvelle ère dans l’histoire du CEPD, qui mettra davantage l’accent sur la construction d’un avenir numérique plus sûr.
Une grande partie du temps et des efforts en matière d’I&C est investie dans la promotion des activités du CEPD sur nos trois canaux de médias sociaux bien établis: Twitter, LinkedIn et YouTube. Cela peut inclure l’élaboration de campagnes sur les médias sociaux axées sur des thèmes spécifiques ou la promotion de la participation du Contrôleur à des événements importants. Nous avons également continué à produire et à publier des contenus sur le site Internet du CEPD. Il s’agit notamment de la publication de fiches d’information, de notre lettre d’information en constante expansion, de blogs sur toute une série de sujets et de communiqués de presse du CEPD, pour ne citer que quelques exemples.
1.10
Indicateurs clés de performance
Nous utilisons un certain nombre d’indicateurs clés de performance (ICP) afin de mieux cerner les résultats de notre action au regard des principaux objectifs définis dans la stratégie du CEPD. Nous garantissons ainsi notre capacité à adapter nos activités, si nécessaire, pour accroître l’impact de nos travaux et l’efficacité de notre utilisation des ressources.
Le tableau de bord des ICP, reproduit ci-après, comprend une description succincte de chaque ICP et les résultats obtenus au 31 décembre 2021. Ces résultats sont mesurés par rapport aux objectifs initiaux, ou par rapport aux résultats de l’année précédente, utilisés comme indicateur. Cet ensemble d’ICP a été partiellement révisé à la fin de 2020, afin de garantir que les indicateurs de performance s’adaptent à l’évolution des activités du CEPD.
En 2021, nous avons atteint ou dépassé (dans certains cas de manière significative) les objectifs fixés dans huit des neuf ICP, un ICP (l’ICP 8) sur le taux d’occupation du tableau des effectifs se situant tout juste en deçà de l’objectif fixé.
Ces résultats illustrent clairement l’issue positive que nous avons connue dans la mise en œuvre de nos objectifs stratégiques tout au long de l’année, en dépit des circonstances difficiles dans lesquelles le CEPD devait encore opérer dans le contexte de la pandémie de COVID-19.
| INDICATEURS CLÉS DE PERFORMANCE | Résultats au 31.12.2021 |
Target 2021 |
|
|---|---|---|---|
| ICP 1 Indicateur interne | Nombre d’initiatives, y compris les publications, de veille technologique et visant à promouvoir les technologies destinées à améliorer le respect de la vie privée et la protection des données organisées ou coorganisées par le CEPD | 16 initiatives | 10 initiatives |
| ICP 2 Indicateur interne et externe | Nombre d’activités axées sur des solutions stratégiques interdisciplinaires (internes et externes) | 8 activités | 8 activités |
| ICP 3 Indicateur interne | Nombre de dossiers traités dans le cadre de la coopération internationale (Assemblée mondiale sur la protection de la vie privée, CdE, OCDE, GPEN, Conférence de printemps, organisations internationales) pour lesquels le CEPD a fourni une contribution écrite importante | 17 dossiers | 5 dossiers |
| ICP 4 Indicateur externe | Nombre de dossiers pour lesquels le CEPD a agi en qualité de rapporteur chef de file, de rapporteur ou de membre de l’équipe de rédaction dans le cadre du comité européen de la protection des données | 23 dossiers | 5 dossiers |
| ICP 5 Indicateur externe | Nombre d’avis au titre de l’article 42 et d’avis conjoints du CEPD et du comité européen de la protection des données émis en réponse aux demandes de consultation législative de la Commission européenne | 17 | L’année précédente en tant que référence |
| ICP 6 Indicateur externe | Nombre d’audits/visites effectués physiquement ou à distance | 4 audits + 1 visite 43 institutions de l’UE concernées |
3 daudits/visites différents 30 institutions e l’UE concernées |
| CP 7 Indicateur Externe | Nombre d’abonnés sur les comptes de médias sociaux du CEPD | Twitter: 25826 LinkedIn: 49575 YouTube:2438 |
Résultats de l’année précédente + 10% |
| ICP 8 Indicateur interne | Taux d’occupation du tableau des effectifs | 88% | 90% |
| ICP 9 Indicateur interne | Exécution du budget | 86,12% | 80% |
Comment trouver des informations sur l’Union européenne?
In person
Dans toute l’Union européenne, des centaines de centres d’information Europe Direct sont à votre disposition. Pour connaître l’adresse du centre le plus proche, visitez la page suivante: https://european-union.europa.eu/contact-eu_fr
Par téléphone ou courrier électronique
Europe Direct est un service qui répond à vos questions sur l’Union européenne. Vous pouvez prendre contact avec ce service:
- au numéro vert suivant: 00 800 6 7 8 9 10 11 (certains opérateurs facturent cependant ces appels),
- au numéro de standard suivant: +32 22 99 96 96, ou
- par courrier électronique via la page: https://european-union.europa.eu/contact-eu_fr
Comment trouver des informations sur l’Union européenne?
En ligne
Des informations sur l’Union européenne sont disponibles, dans toutes les langues officielles de l’UE, sur le site internet Europa à l’adresse: https://european-union.europa.eu/index_fr
https://europa.eu/european-union/index_enPublications de l’Union européenne
Vous pouvez télécharger ou commander les publications gratuites et payantes à l’adresse: https://op.europa.eu/fr/web/general-publications/publications.
Vous pouvez obtenir plusieurs exemplaires de publications gratuites en contactant Europe Direct ou votre centre d’information local (https://european-union.europa.eu/contact-eu_fr).
Droit de l’Union européenne et documents connexes
Pour accéder aux informations juridiques de l’Union, y compris à l’ensemble du droit de l’UE depuis 1952, dans toutes les versions linguistiques officielles, consultez EUR-Lex à l’adresse suivante: http://eur-lex.europa.eu
Données ouvertes de l’Union européenne
Le portail des données ouvertes de l’Union (https://data.europa.eu/fr) donne accès à des ensembles de données de l’Union. Les données peuvent être téléchargées et réutilisées gratuitement à des fins commerciales ou non commerciales.
Contact
Des informations supplémentaires sur le CEPD figurent sur notre site web à l’adresse: http://www.edps.europa.eu.
Le site web vous permet également de vous abonner feature à notre newsletter.
Waterford, Ireland - Bruxelles, Belgique: Trilateral Research Ltd, Vrije Universiteit Brussel, 2022
© Design et Photos: Trilateral Research Ltd, CEPD & Union européenne
© Union européenne, 2022
La reproduction est autorisée à condition que la source soit mentionnée.
Pour toute utilisation ou reproduction de photos ou de tout autre matériel qui ne relève pas du droit d’auteur du Contrôleur européen de la protection des données, l’autorisation doit être demandée directement aux titulaires des droits d’auteur.
|
|
ISBN 978-92-9242-772-6 |
ISSN 1977-8333 |
doi:10.2804/89409 |
QT-AB-22-001-EN-N |
|
HTML |
ISBN 978-92-9242-785-6 |
ISSN 1977-8333 |
doi:10.2804/794306 |
QT-AB-22-001-EN-Q |