European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

S

S

Sécurité du traitement

Conformément à l'article 33 du règlement (UE) N° 2018/1725 , le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données personnelles à protéger.

Un exemple de cette mesure, prévu à l'article 33, pourrait être la pseudonymisation et le cryptage des données.

Sous-traitant
Selon l'article 3 (12) du Règlement (UE) 2018/1725, on entend par sous-traitant "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement".

L'élément essentiel de cette définition est le fait que le sous-traitant agit uniquement "pour le compte du responsable du traitement" et donc exclusivement selon les instructions de ce dernier.

A titre d'exemple, une société de gardiennage qui surveille les entrées dans un bâtiment d'une institution n'effectue pas le traitement des données à caractère personnel se rapportant aux personnes qui entrent dans le bâtiment pour son propre compte, mais pour celui de l'institution concernée.

Dans certains cas, le sous-traitant peut décider de ne pas procéder lui-même au traitement des données, mais de recourir aux services d'un tiers qui effectuera le traitement pour son compte. Dans la pratique, cela dépendra du contrat de sous-traitance qui aura été conclu avec le responsable du traitement.

SWIFT

Le sigle SWIFT (pour Society for Worldwide Interbank Financial Telecommunication) désigne un système mondial de messagerie financière qui facilite les virements internationaux.

Après les attentats du 11 septembre 2001, le ministère du trésor des États-Unis a adressé des injonctions administratives à SWIFT l'invitant à transférer les données à caractère personnel conservées sur son serveur installé aux États-Unis pour identifier, localiser et poursuivre les soutiens financiers du terrorisme.

Après que des articles de presse eurent révélé ce transfert de données à caractère personnel, dont certaines concernaient des données bancaires de citoyens européens, les autorités européennes chargées de la protection des données ont répertorié diverses atteintes aux principes fondamentaux régissant la protection des données, en rapport notamment avec le transfert de données à caractère personnel vers des pays tiers (voir l'avis 10/2006 du groupe de travail "Article 29"). Le CEPD a également adopté un avis en se concentrant sur le rôle de la Banque centrale européenne (voir l'avis du CEPD).

À la suite de ces constatations, de nombreuses améliorations ont été apportées afin que le respect des règles relatives à la protection des données soit assuré. SWIFT a adhéré aux principes de la sphère de sécurité; le Trésor américain a fourni des éclaircissements et des assurances concernant l'accès aux données SWIFT ainsi que leur traitement; SWIFT a annoncé des modifications importantes dans l'architecture de ses services de paiement et assuré que les messages émis en Europe resteraient en Europe et ne seraient plus communiqués aux États-Unis.

Voir également: Principes de la "sphère de sécurité"

Systèmes d'information à grande échelle

Plusieurs bases de données (systèmes d'information) créées ou en voie d'être créées par l'Union européenne (UE) peuvent être considérées comme étant à grande échelle du fait de la réunion de divers critères (parfois tous présents): le nombre de personnes utilisant le système pour des finalités différentes, la quantité de données collectées, conservées, consultées, manipulées, le nombre de connexions entre les composantes, etc.

L'UE procède actuellement à la mise en place ou la mise à jour de plusieurs systèmes d'information à grande échelle dans les domaines du contrôle aux frontières et du contrôle policier: le SIS II, le VIS et Eurodac en sont trois exemples.

Système d'information Schengen - SIS

Le Système d'information Schengen (SIS) est un système d'information à grande échelle dont la mise en place est liée à la suppression des contrôles aux frontières intérieures sur le territoire Schengen (soit la plus grande partie du territoire de l'UE et un petit nombre d'autres pays).

Le SIS est amené à être remplacé par le SIS II, qui permettra la connexion d'un plus grand nombre de pays et offrira de nouvelles fonctionnalités (voir l'avis du CEPD sur la mise en place du SIS II (pdf)).

Le SIS contient des informations sur des objets (voitures volées, documents d'identité, etc.) et des personnes. Les informations à caractère personnel pouvant être enregistrées dans le SIS concernent:

  • les ressortissants d'États tiers auxquels l'entrée sur le territoire Schengen est interdite;
  • les personnes recherchées dans le cadre de poursuites pénales ou les personnes sous surveillance policière;
  • les personnes portées disparues qui devraient être mises sous protection, en particulier les mineurs.

Au niveau national, le contrôle du système au regard de la protection des données est assuré par les autorités chargées de la protection des données. Au niveau européen, ce contrôle est assuré par l'autorité de contrôle commune Schengen ou "ACC".

Le CEPD remplacera l'ACC au niveau européen dès que le SIS II entrera en service, probablement dans le courant de 2009.

Une personne qui souhaite accéder ou rectifier des données la concernant qui figurent dans le SIS  peut contacter une autorité chargée de la protection des données dans l'un des pays Schengen. Les coordonnées des autorités chargées de la protection des données compétentes - qui peuvent elles-mêmes lui donner accès à ces données ou lui indiquer où s'adresser - sont disponibles sur le site de l'ACC.

Système d'information sur les visas - VIS

Le système d'information sur les visas (VIS) est un système d'information à grande échelle qui contiendra des informations sur les demandeurs de visas, notamment leurs photos et leurs empreintes digitales. Le CEPD a rendu un avis en 2005 sur la mise en place du VIS (pdf) et un avis en 2006 sur l'accès au VIS des autorités répressives (pdf).

Les informations seront collectées par les consulats dans les différents États membres, puis transférés au VIS, la base de données centrale, à laquelle tous les États membres auront accès. La mise en service du VIS devrait en principe débuter en 2009.

L'un des principaux objectifs de cette base de données est de lutter contre la pratique du "visa shopping". Les citoyens de plus de 120 pays doivent être munis d'un visa pour entrer sur le territoire de l'UE. Actuellement, une personne dont la demande de visa a été rejetée par un pays peut en principe renouveler sa demande dans d'autres consulats. Cette pratique ne sera plus possible une fois que le VIS sera en place. Des informations sur les demandes antérieures et les motifs de rejet seront disponibles dans le nouveau système. L'introduction de photos et d'empreintes digitales est destinée à vérifier à la frontière si une personne présentant un visa est bien la personne pour laquelle il a été émis.

La supervision de la protection des données sera placé sous la responsabilité du CEPD au niveau de l'unité centrale, et sous la responsabilité des autorités des États membres chargées de la protection des données au niveau national. Le CEPD et les autorités chargées de la protection des données assureront la coordination de cette supervision.