European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Le CEPD dans le monde

Le CEPD dans le monde

/file/worldwidepng_frworldwide.png

Étant donné que les données traversent les frontières sous forme numérique, il s’avère nécessaire d’envisager leur protection dans une perspective mondiale. En outre, le CEPD a une responsabilité particulière à cet égard.

Lorsqu’il a été nommé contrôleur en 2014, Giovanni Buttarelli s’est vu confier par l’UE la mission de développer et de maintenir des relations efficaces avec les parties prenantes au sein des institutions de l’UE, des États membres, des pays tiers et d’autres organisations internationales.

À cette fin, nous collaborons avec les autorités européennes chargées de la protection des données, en particulier dans le cadre du comité européen de la protection des données, et nous coopérons avec des partenaires internationaux afin d’élaborer des approches transfrontalières, coordonnées, pour garantir les droits des personnes.

Par exemple, l’UE administre un certain nombre de systèmes informatiques à grande échelle pour la gestion, entre autres, des demandes de visas et des dossiers de demandeurs d’asile. Étant donné que ces systèmes traitent d’importantes quantités de données provenant d’un grand nombre de personnes du monde entier, une approche coordonnée est nécessaire afin d’assurer un niveau élevé de protection des données.

Le contrôle de ces systèmes est dès lors partagé entre les autorités nationales chargées de la protection des données et le CEPD. Indépendamment du partenaire ou des domaines politiques, notre mission de coopération inclut:

  • le partage d’informations et de bonnes pratiques;
  • la collaboration afin d’améliorer la compréhension de la législation en matière de protection des données;
  • la recherche de positions communes, lorsque cela est possible; et
  • l’élaboration d’orientations, si nécessaire.

En outre, le CEPD soutient les organisations internationales dans leurs efforts pour élaborer un cadre de protection des données et pour interagir les unes avec les autres; nous entretenons également une concertation avec les autorités internationales chargées de la protection des données et les régulateurs afin d’élaborer une approche cohérente de la protection transfrontalière des données.

Nous présentons ici dans les grandes lignes certains domaines de notre mission de coopération, notamment le comité européen de la protection des données, Europol, les systèmes informatiques européens à grande échelle, les conférences internationales et ateliers, le Conseil de l’Europe, l’OCDE, d’autres réseaux régionaux et internationaux et le groupe de Berlin.

Comité européen de la protection des données (EDPB)
Europol
Systèmes informatiques européens à grande échelle
Système d’information Schengen (SIS)
Système d’information sur les visas (VIS)
EURODAC
Système d’information douanier (SID) et fichier d’identification des dossiers d’enquêtes douanières (FIDE)
Système d’information du marché intérieur (IMI)
Conférences internationales et ateliers
Conseil de l’Europe
OCDE
Autres réseaux régionaux et internationaux
Groupe de Berlin

Comité européen de la protection des données

Depuis le 25 mai 2018, le comité européen de la protection des données (EDPB) a succédé au groupe de travail «Article 29».

En vertu du règlement général sur la protection des données (RGPD), l’EDPB est chargé d’assurer l'application cohérente de celui-ci dans toute l’Union.

Pour ce faire, l’EDPB est habilité à émettre des avis concernant diverses questions telles que les règles institutionnelles contraignantes, les critères de certification et les codes de conduite utilisés par les entreprises; à adopter des décisions contraignantes afin d’assurer la cohérence entre les autorités de contrôle et à émettre des orientations sur des questions pertinentes concernant l’interprétation et l’application du RGPD.

La coopération bilatérale et internationale avec les autorités chargées de la protection des données constitue un élément essentiel des activités du CEPD, en particulier au sein de l’EDPB.

Outre son rôle de membre à part entière de l’EDPB, le CEPD assure un secrétariat indépendant pour l’EDPB. Le secrétariat offre un soutien administratif et logistique pour l’EDPB et exécute également des travaux d’analyse afin de contribuer à la mission de l’EDPB.

Europol

Le 1er mai 2017 est la date d’entrée en vigueur du nouveau règlement Europol.

Il s’agit également de la date à laquelle le CEPD a pris en charge la surveillance de l’Agence de l’UE pour la coopération des services répressifs (Europol) assurée par l’Autorité commune de contrôle.

Nos responsabilités consistent à:

  • assurer le suivi et l’application des dispositions du règlement Europol en matière de protection des données par Europol; et
  • conseiller Europol et les parties prenantes concernées sur des questions relatives au traitement des données à caractère personnel.

Les autorités nationales chargées de la protection des données continuent de jouer un rôle important au sein d’un conseil de coopération Europol, dont le CEPD fait également partie.

Le comité a une fonction consultative et peut émettre des avis, des lignes directrices, des recommandations et publier des bonnes pratiques. Son secrétariat est assuré par le CEPD.

Systèmes informatiques européens à grande échelle au sein de l’espace de liberté, de sécurité et de justice

L’une des missions du CEPD, telle que définie dans la législation, est le contrôle des unités centrales d’un certain nombre de grandes bases de données informatiques ou de systèmes d’information de l’UE afin de faciliter l’échange de données entre États membres dans ces domaines.

Les données étant des données à caractère personnel, la surveillance des bases de données est requise afin d’assurer qu’elles soient conformes aux règles en matière de protection des données.

Les responsabilités de cette surveillance sont partagées par les autorités chargées de la protection des données. L’utilisation que les autorités nationales, telles que la police, font de ces bases de données et de toute copie nationale est surveillée par les autorités nationales chargées de la protection des données respectives; l’unité centrale est soumise au règlement de l’UE sur la protection des données et contrôlée par le CEPD.

Ce contrôle nécessite par conséquent une approche coordonnée. Des groupes de coordination de contrôle, composés des autorités nationales chargées de la protection des données et du CEPD, se réunissent régulièrement afin de coordonner leurs activités. Leur secrétariat est assuré par le CEPD. L’article 62 du règlement (UE) 2018/1725 prévoit un modèle harmonisé de contrôle coordonné, applicable lorsque l’acte du droit de l’Union considéré renvoie à cet article. Conformément à l’article 62, le CEPD et les autorités nationales chargées de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif des systèmes informatiques à grande échelle et des organes et organismes de l’Union. Ils se réunissent à cette fin dans le cadre du comité européen de la protection des données (EDPB). En d’autres termes, le contrôle coordonné des systèmes informatiques à grande échelle mentionnés ci-après reste applicable jusqu’à ce qu’il soit mis en adéquation avec l’article 62.

Veuillez noter qu’en raison de cette configuration, le CEPD ne peut vous aider en cas de réclamations concernant vos informations contenues dans l’une des bases de données. Veuillez contacter l’autorité nationale compétente chargée de la protection des données.

Système d’information Schengen

Le système d’information Schengen (SIS) est une base de données utilisée pour la coopération policière et le contrôle des frontières.

Elle contient des informations sur les personnes recherchées ou disparues et les personnes placées sous contrôle judiciaire.

La base de données contient uniquement des informations sur les personnes qui vivent hors de l’espace Schengen et auxquelles il est interdit d’y pénétrer.

Elle recèle également des informations sur les véhicules et objets volés ou disparus, tels que les papiers d’identité, les certificats d’enregistrement des véhicules et les plaques d’immatriculation des véhicules.

Le règlement qui a porté création de la base de données SIS, le règlement (CE) nº 1987/2006 (règlement SIS II), et la décision 2007/533/JAI du Conseil (décision SIS II) prévoient l’obligation pour le CEPD d’inspecter le SIS au moins tous les quatre ans.

Le groupe de coordination du contrôle du SIS a élaboré un guide pour vous aider à exercer vos droits dans le SIS (en anglais uniquement, mais un résumé est disponible dans toutes les langues de l’UE).

Système d’information sur les visas

Le système d’information sur les visas (VIS) est une base de données qui contient des informations, des photographies et des empreintes digitales des personnes qui sollicitent des visas pour un séjour de courte durée dans l’espace Schengen.

L’un des principaux objectifs de la base de données est d’empêcher le visa shopping ou la pratique consistant à demander un visa dans d’autres États membres de l’UE lorsque la première demande a été rejetée.

La décision 2004/512/CE du Conseil et le règlement (CE) nº 767/2008 (règlement VIS) qui a porté création de la base de données VIS imposent au CEPD l’obligation d’inspecter le VIS au moins tous les quatre ans.

EURODAC

EURODAC contient les empreintes digitales des demandeurs d’asile et des immigrants en situation irrégulière au sein de l’UE.

Il contribue à l’application effective du règlement de Dublin, qui détermine l’État membre chargé d’examiner une demande d’asile.

Le règlement (UE) nº 603/2013 relatif à la création d’Eurodac comporte l’obligation pour le CEPD d’inspecter EURODAC au moins tous les trois ans.

Système d’information douanier et fichier d’identification des dossiers d’enquêtes douanières

Le système d’information douanier (SID) est une plateforme pour l’échange d’informations entre les autorités douanières dans les États membres de l’UE.

Le FIDE (acronyme de «fichier d’identification des dossiers d’enquêtes douanières») est un index de personnes et d’entités qui font ou ont fait l’objet d’une enquête de la part des autorités douanières dans les États membres.

Le règlement (CE) nº 515/1997 a établi l’utilisation du SID et du FIDE pour les affaires de fraude douanière lors de l’importation de produits agricoles; la décision 2009/917/JAI du Conseil a établi l’utilisation du SID et du FIDE dans les affaires de trafic d’armes et de drogues. Ce dernier est contrôlé par l’Autorité de contrôle commune (ACC) des douanes.

Système d’information du marché intérieur

Le règlement (UE) nº 1024/2012 a porté création de l’application du système d’information du marché intérieur (IMI). L’IMI est une application logicielle accessible via l’internet, développée et hébergée par la Commission européenne. Elle a été développée afin de fournir un moyen sécurisé d’échanger des informations entre les États membres.

Elle contribue, entre autres, à la vérification de la validité des qualifications professionnelles des personnes désireuses de travailler dans un autre pays de l’UE.

À la suite d’une révision récente du règlement (UE) nº 1024/2012 (règlement IMI), le contrôle coordonné du système IMI a été modifié pour concorder avec le modèle défini à l’article 62 du règlement (UE) 2018/1725. Conformément à l’article 62, le CEPD et les autorités nationales chargées de la protection des données, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif des systèmes informatiques à grande échelle et des organes et organismes de l’Union. En conséquence, c’est désormais le secrétariat de l’EDPB qui fournira une assistance au groupe de coordination de contrôle de l’IMI.

Conférences internationales et ateliers

Le CEPD est membre de la Conférence internationale des commissaires à la protection des données et à la vie privée (CICPDVP), qui a lieu chaque année en automne. Nous sommes particulièrement actifs, au sein de ses groupes de travail, sur l’avenir de la conférence, sur la coopération avec les autorités de protection des consommateurs et sur la coopération des services répressifs.

Avec l’autorité bulgare chargée de la protection des données, le CEPD a accueilli la conférence internationale 2018 à Bruxelles. Le thème principal de la conférence était l’éthique et les nouvelles technologies.

Les autorités chargées de la protection des données des États membres de l’UE et du Conseil de l’Europe se rencontrent annuellement lors d’une conférence de printemps, pour se pencher sur des questions d’intérêt commun ainsi que pour échanger des informations et des enseignements tirés dans différents domaines. Le CEPD contribue activement aux discussions.

Le CEPD soutient les organisations internationales dans leurs efforts visant à élaborer un cadre de protection des données et pour interagir. À cette fin, un réseau a été créé et des ateliers sont organisés sur une base régulière. Depuis 2005, nous avons organisé conjointement sept ateliers avec des organisations internationales.

Conseil de l’Europe

Le Conseil de l’Europe est un acteur important dans le domaine de la législation et de la politique de protection de la vie privée et des données, non seulement en Europe mais, de plus en plus, sur d’autres continents où les normes européennes sont souvent mises à profit comme source d’inspiration pour la législation et les politiques.

La convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe (Convention 108) est ouverte à une adhésion, tant aux pays européens qu’aux pays non européens. Elle est utilisée comme outil pour diffuser le modèle européen de protection des données en tant que droit fondamental et droit de l’homme. La Convention 108 a récemment été modernisée afin de répondre aux défis nés de l’usage des nouvelles technologies de l’information et de la communication et de renforcer une mise en œuvre effective de la convention.

Le CEPD siège en tant qu’observateur au sein des groupes d’experts du Conseil de l’Europe sur la protection des données, notamment le comité consultatif (T-PD) de la Convention 108 et le comité ad hoc sur la protection des données (CAHDATA).

Nous participons aux réunions de ces groupes d’experts et présentons des observations orales et écrites informelles afin d’assurer un bon niveau de protection et une compatibilité avec les normes de protection des données de l’UE.

OCDE

Le CEPD siège en qualité d’observateur au sein du groupe de travail sur la sécurité et la vie privée dans l’économie numérique (GTSVPEN) de l’Organisation pour la coopération et le développement économiques (OCDE).

Nous conseillons la Commission européenne en cas de besoin et formulons des observations à l’intention du groupe de travail sur les recommandations relatives à la protection de la vie privée et la protection des données.

Autres réseaux régionaux et internationaux

Le CEPD suit également les activités d’autres réseaux afin de soutenir des initiatives régionales qui visent au renforcement de la protection des données dans le monde entier.

Ceux-ci comprennent le Global Privacy Enforcement Network (GPEN) ou réseau mondial d’application de la législation pour la protection de la vie privée, le Forum des autorités chargées de la protection de la vie privée pour l’Asie-Pacifique (APPA), l’Association francophone des autorités de protection des données à caractère personnel (AFAPDP), et le réseau ibéro-américain de protection des données (RIPD).

Le CEPD participe régulièrement aux ateliers annuels de traitement des dossiers organisés par les autorités chargées de la protection des données (APD) en Europe (y compris des pays tiers tels que le Monténégro). Ces ateliers sont des forums utiles pour discuter de questions pratiques au niveau opérationnel et réunir le personnel des APD (responsables du traitement des plaintes et inspecteurs, par exemple) de toute l’Europe. Les thèmes des ateliers mis en œuvre comprennent le droit à l’oubli par les moteurs de recherche, le traitement des données par des enquêteurs/détectives privés, la CCTV, l’évaluation des risques-clients («credit scoring») et la lutte contre le blanchiment d’argent.

Groupe de Berlin

Le groupe de travail international sur la protection des données dans les télécommunications remplit la fonction de mécanisme d’alerte précoce destiné à attirer l’attention des autorités chargées de la protection de la vie privée et des données, dans le monde entier, sur les nouveaux enjeux technologiques concernant la protection des données à caractère personnel.

Ce groupe de travail est également appelé le groupe de Berlin, étant donné que le commissaire de Berlin à la protection des données et la liberté de l’information facilite ses travaux, et se compose d’autorités chargées de la protection des données et de la vie privée d’Europe, d’Amérique, d’Asie-Pacifique et d’Afrique ainsi que d’un nombre limité d’experts juridiques et techniques issus de la société civile, des universités et des entreprises.

Le groupe est chargé de fournir à ses membres et au public des documents de travail sur des évolutions technologiques spécifiques.