European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Le CEPD dans le monde

Le CEPD dans le monde

/file/worldwidepng_frworldwide.png

Les données traversant les frontières sous forme numérique, il s’avère nécessaire d'en envisager la protection dans une perspective mondiale. En outre, le CEPD a une responsabilité particulière à cet égard.

Lorsqu’il a été nommé contrôleur en 2014, Giovanni Buttarelli s’est vu confier par l’UE la mission de développer et de maintenir des relations efficaces avec les parties prenantes au sein des institutions de l’UE, des États membres, des pays tiers et d’autres organisations internationales.

À cette fin, nous collaborons avec les autorités européennes chargées de la protection des données et de contrôle et nous coopérons avec des partenaires internationaux afin d’élaborer des approches transfrontalières, coordonnées, pour garantir les droits des personnes.

Par exemple, l’UE administre un certain nombre de systèmes informatiques à grande échelle pour la gestion, entre autres, des demandes de visas et des dossiers de demandeurs d’asile. Étant donné que ces systèmes traitent d'importantes quantités de données provenant d’un grand nombre de personnes du monde entier, une approche coordonnée est nécessaire afin d’assurer un niveau élevé de protection des données.

Le contrôle de ces systèmes est dès lors partagé entre les autorités européennes chargées de la protection des données et de contrôle et le CEPD. Indépendamment du partenaire ou des domaines politiques, notre mission de coopération inclut :

  • le partage d’informations et de bonnes pratiques ;
  • la collaboration afin d’améliorer la compréhension de la législation en matière de protection des données ;
  • la recherche de positions communes, lorsque cela est possible ; et
  • l’élaboration d'orientations, si nécessaire.

En outre, le CEPD soutient les organisations internationales dans leurs efforts pour élaborer un cadre de protection des données et pour interagir les unes avec les autres; nous entretenons également une concertation avec les autorités internationales chargées de la protection des données et les régulateurs afin d’élaborer une approche cohérente de la protection transfrontalière des données.

Nous présentons ici dans les grandes lignes certains domaines de notre mission de coopération :

Le groupe de travail "Article 29"
Comité européen de la protection des données (CEPD)
Europol
Le secrétariat de la protection des données
Les systèmes informatiques européens
Le système d'information Schengen (SIS)
Le système d'information sur les visas (VIS)
EURODAC
Le système d'information du marché intérieur (IMI)
Le système d'information douanier (SID) et le fichier européen d'identification des dossiers d'enquête douanière (FIDE)

Les conférences internationales et ateliers
Le conseil de l'Europe
L'OCDE
D'autres réseaux régionaux et internationaux
Le groupe de Berlin


 

Le groupe de travail "Article 29"

Le groupe de travail «article 29» se compose de représentants des autorités nationales de protection des données et de contrôle dans les États membres de l’UE, du CEPD et de la Commission européenne. Il s’agit d’une plateforme très importante pour la coopération, dont les tâches principales sont les suivantes :

  • fournir à la Commission européenne, du point de vue des États membres, des avis d’expert concernant des aspects de la protection des données ;
  • promouvoir l’application uniforme de la directive 1995/46 dans tous les États membres, ainsi qu’en Norvège, au Liechtenstein et en Islande;
  • conseiller la Commission sur toute législation de l'UE (le «premier pilier», aussi appelé le «pilier communautaire») ayant une incidence sur la protection des données à caractère personnel.

Cinq réunions plénières au moins sont organisées chaque année à Bruxelles.

Toutefois, le groupe de travail traite également des questions pertinentes à travers des activités organisées dans ses réunions en sous-groupes.

On peut citer le sous-groupe «technologie», qui aborde les défis de l’internet et des problématiques technologiques similaires, et le sous-groupe «dispositions clés», dédié à l’interprétation des principes essentiels de la directive, tels que les notions de consentement ou de limitation de la finalité.

Une page web dont l'accès est limité aux autorités pour le partage des informations pertinentes contribue à faciliter les activités du groupe de travail.

En tant que membre du groupe de travail, le CEPD participe à son rôle de «définition des politiques» en contribuant activement aux positions communes et aux avis conjoints.

Le CEPD exerce également son rôle consultatif sur la nouvelle législation de l’UE en formulant ses propres avis.

Le groupe de travail «article 29» et le CEPD ont pour objectif de compléter et de soutenir mutuellement leurs activités partout où cela pourrait s’avérer pertinent, ainsi qu’ils l’ont démontré en ce qui concerne la directive hautement controversée sur la conservation de données, dossier dans lequel le CEPD a émis son propre avis et a également contribué à l’élaboration de l’avis du groupe de travail.

La Commission européenne met à disposition le secrétariat pour le groupe de travail et héberge un site web où figurent les documents adoptés et d’autres informations pertinentes, telles que celles concernant les clauses contractuelles types.

 

Comité européen de la protection des données

Le 25 mai 2018, lorsque le règlement général sur la protection des données (RGPD) deviendra pleinement applicable dans l’UE, le comité européen de la protection des données succédera au groupe de travail «article 29».

Aux termes du RGPD, le comité européen de la protection des données sera chargé d’assurer son application cohérente dans toute l’Union.

Pour ce faire, le comité européen de la protection des données sera habilité à émettre des avis ou des autorisations concernant diverses questions telles que les règles institutionnelles contraignantes, les critères de certification et les codes de conduite utilisés par les entreprises; à adopter des décisions contraignantes afin d’assurer la cohérence entre les autorités de contrôle et à émettre des avis et des orientations sur des questions pertinentes concernant l’interprétation et l’application du RGPD, comme l’a fait le groupe de travail «article 29».

Le CEPD sera un membre du comité européen de contrôle des données, tout comme il était membre du groupe de travail «article 29». Nous participerons aux réunions et aux discussions avec des droits de vote adaptés à notre spécificité en tant que contrôleur des institutions de l’UE qui sont soumises à un cadre de protection des données similaire à l’égard des États membres de l’UE.

La coopération bilatérale et internationale avec les autorités chargées de la protection des données constitue déjà un élément important des activités du CEPD et elle gagnera encore en importance en raison du RGPD, en particulier au sein du comité européen de la protection des données.

Le RGPD prévoit que le CEPD assurera le secrétariat pour le comité européen de la protection des données. Le secrétariat offrira un soutien administratif et logistique pour le comité et exécutera également des travaux d’analyse afin de contribuer à la mission du comité européen de la protection des données. 

 

Europol

Le 1er mai 2017 est la date d’entrée en vigueur du nouveau règlement Europol.

Il s’agit également de la date à laquelle le CEPD prendra en charge la surveillance de l'Agence de l’UE pour la coopération des services répressifs (Europol) assurée par l’Autorité commune de contrôle.

Nos responsabilités consisteront à :

  • assurer le suivi et l’application des dispositions du règlement Europol en matière de protection des données par Europol ; et
  • conseiller Europol et les parties prenantes concernées sur des questions relatives au traitement des données à caractère personnel.

Les autorités nationales chargées de la protection des données continueront de jouer un rôle important au sein d’un conseil de coopération Europol dont le CEPD fera également partie.

Le comité aura une fonction consultative et pourra émettre des avis, des lignes directrices, des recommandations et publier des bonnes pratiques.

 

Secrétariat de la protection des données

Le CEPD assure le secrétariat pour plusieurs groupes de coordination, notamment la surveillance coordonnée des grandes bases de données VIS, SIS, SID, IMI et Eurodac. À partir du 1er mai 2017, il assurera également le secrétariat pour le conseil de coopération Europol.

Le 25 mai 2018, lorsque le règlement général sur la protection des données (RGPD) deviendra pleinement applicable dans toute l’Union, le CEPD assurera le secrétariat pour le comité européen de la protection des données.

Le secrétariat offrira un soutien administratif et logistique pour le comité et réalisera également des analyses afin de contribuer à la mission du comité européen de la protection des données.

Le CEPD affectera une équipe spécifique aux travaux exécutés selon les instructions du président du comité européen de la protection des données. Les préparatifs sont en cours depuis 2016 afin de garantir que le comité européen de la protection des données sera opérationnel dès le premier jour de son existence. Des fiches d’information expliquant comment le CEPD organise ces services de secrétariat ont été communiquées aux parties prenantes, dont les membres du groupe de travail «article 29».

 

Systèmes informatiques européens

La convention de Schengen de 1990 visait à créer une Europe sans frontières intérieures, spécifiquement pour permettre la libre circulation des personnes au sein de l’Union européenne.

Actuellement, 25 États membres, ainsi que la Norvège et l’Islande, font partie de cet espace de libre circulation. La convention de Schengen s’applique, entre autres choses, aux domaines de la politique des visas, de la politique en matière d'asile, de la coopération politique, de la politique en matière de drogue et de la libre circulation des personnes.

L’une des missions du CEPD, telle que définie dans la législation, est le contrôle des unités centrales d’un certain nombre de grandes bases de données informatiques ou de systèmes d’information afin de faciliter l’échange de données entre États membres dans ces domaines.

Les données étant des données à caractère personnel, la surveillance des bases de données est requise afin d'assurer qu’elles soient conformes aux règles en matière de protection des données.

Les responsabilités de cette surveillance sont partagées par les autorités chargées de la protection des données. L’utilisation que les autorités nationales, telles que la police, font de ces bases de données et toute copie nationale sont surveillées par les autorités nationales en charge de la protection des données respectives; l’unité centrale est soumise au règlement de l’UE sur la protection des données et contrôlée par le CEPD.

Ce contrôle nécessite par conséquent une approche coordonnée. Des groupes de coordination de contrôle, composés des autorités nationales chargées de la protection des données et du CEPD, se réunissent régulièrement afin de coordonner leurs activités.

Veuillez noter qu’en raison de cette configuration, le CEPD ne peut vous aider dans le cas de réclamations concernant vos informations contenues dans l’une des bases de données. Veuillez contacter l’autorité nationale compétente chargée de la protection des données.

 

Système d'information Schengen

Le SIS est une base de données utilisée pour la coopération policière et le contrôle des frontières.

Elle contient des informations sur les personnes recherchées ou disparues et les personnes placées sous contrôle judiciaire.

La base de données est uniquement dédiée à des informations sur les personnes qui vivent hors de l’espace Schengen et auxquelles il est interdit d’y pénétrer.

La base de données recèle également des informations sur les véhicules et objets volés ou disparus, tels que, notamment, les papiers d’identité, les certificats d’enregistrement des véhicules et les plaques d'immatriculation des véhicules.

Le règlement qui a porté création de la base de données SIS, le règlement (CE) nº 1987/2006 (règlement SIS II) et la décision 2007/533/JAI du Conseil (décision SIS II), prévoient l'obligation pour le CEPD d'inspecter le SIS au moins tous les quatre ans.

Le groupe de coordination du contrôle du SIS a élaboré un guide pour vous aider à exercer vos droits dans le SIS (en anglais uniquement, mais un résumé est disponible dans toutes les langues de l’UE).

 

Système d'information sur les visas

La base de données VIS contient des informations, des photographies et des empreintes digitales des personnes qui sollicitent des visas pour un séjour de courte durée dans l’espace Schengen.

L’un des principaux objectifs de la base de données est d’empêcher le visa shopping ou la pratique consistant à demander un visa dans d’autres États membres de l'UE lorsque la première demande a été rejetée.

La décision 2004/512/CE du Conseil et le règlement (CE) nº 767/2008 (règlement VIS) qui a porté création de la base de données VIS imposent au CEPD l'obligation d'inspecter le VIS au moins tous les quatre ans.

 

EURODAC

EURODAC contient les empreintes digitales des demandeurs d’asile et des immigrants en situation irrégulière au sein de l’UE.

Elle contribue à l’application effective du règlement de Dublin qui détermine l'État membre chargé d’examiner une demande d’asile.

Le règlement (UE) nº 603/2013 relatif à la création d’Eurodac comporte l'obligation pour le CEPD d'inspecter EURODAC au moins tous les trois ans.

 

Système d'information du marché intérieur

L’IMI est une application logicielle accessible via l’internet, développée et hébergée par la Commission européenne.

Elle a été développée afin de fournir un moyen sécurisé d’échanger des informations entre les États membres.

Elle contribue, entre autres, à la vérification de la validité des qualifications professionnelles des personnes désireuses de travailler dans un autre pays de l’UE.

Le règlement (UE) nº 1024/2012 a porté création de l’application IMI.

 

Système d’information douanier et fichier européen d’identification des dossiers d’enquête douanière

Le SID est une plateforme pour l’échange d’informations entre les autorités douanières dans les États membres de l’UE.

Le FIDE (acronyme de «fichier d’identification d’enquêtes douanières») est un index de personnes et d’entités qui font ou ont fait l’objet d’une enquête de la part des autorités douanières dans les États membres.

Le règlement (CE) nº 515/1997 a établi l’utilisation du SID et du FIDE pour les affaires de fraude douanière lors de l’importation de produits agricoles; la décision 2009/917/JAI du Conseil a établi l’utilisation du SID et du FIDE dans les affaires de trafic d’armes et de drogues. Ce dernier est contrôlé par l’Autorité de contrôle commune (ACC) des douanes.

 

Conférences internationales et ateliers

Le CEPD est membre de la Conférence internationale des commissaires à la protection des données et à la vie privée (CICPDVP), qui a lieu chaque année en automne. Nous sommes particulièrement actifs au sein de ses groupes de travail sur la coopération des services répressifs et sur la protection des données dans l’action humanitaire.

Avec l’autorité bulgare chargée de la protection des données, le CEPD accueillera la conférence internationale 2018 à Bruxelles. Le thème principal de la conférence sera l’éthique et les nouvelles technologies.

Les autorités chargées de la protection des données des États membres de l’UE et du Conseil de l’Europe se rencontrent annuellement lors d’une conférence de printemps, pour se pencher sur des questions d’intérêt commun ainsi que pour échanger des informations et des enseignements tirés dans différents domaines. Le CEPD contribue activement aux discussions. La conférence se termine généralement par l’adoption d’un certain nombre de documents importants.

Le CEPD soutient les organisations internationales dans leurs efforts pour élaborer un cadre de protection des données et pour interagir. À cette fin, un réseau a été créé et des ateliers sont organisés sur une base régulière. Depuis 2005, nous avons organisé conjointement cinq ateliers avec des organisations internationales. Ces travaux s’effectuent en parallèle et de manière cohérente avec l’initiative de la Conférence internationale sur les organisations internationales humanitaires.

 

Conseil de l'Europe

 

Le Conseil de l’Europe est un acteur important dans le domaine de la législation et de la politique de protection de la vie privée et des données, non seulement en Europe mais, de plus en plus, sur d’autres continents où les normes paneuropéennes sont souvent mises à profit comme source d’inspiration pour la législation et les politiques.

La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe (Convention 108) est ouverte à une adhésion tant par les pays européens que par les pays non européens. Elle est utilisée comme outil pour diffuser le modèle européen de protection des données en tant que droit fondamental et droit de l’homme.

Le CEPD siège en tant qu'observateur au sein des groupes d’experts du Conseil de l’Europe sur la protection des données, notamment le comité consultatif (T-PD) de la Convention 108 et le comité ad hoc sur la protection des données (CAHDATA), auquel a été confiée la responsabilité de la modernisation de la Convention 108.

Nous participons aux réunions de ces groupes d’experts et présentons des observations orales et écrites informelles afin d’assurer un bon niveau de protection et une compatibilité avec les normes de protection des données de l’UE.

 

OCDE

Le CEPD siège en qualité d'observateur au sein du Groupe de travail sur la sécurité et la vie privée dans l’économie numérique (GTSVPEN) de l’Organisation pour la coopération et le développement économiques (OCDE).

Nous conseillons la Commission européenne en cas de besoin et formulons des observations à l’intention du groupe de travail sur les recommandations relatives à la protection de la vie privée et la protection des données dans des domaines tels que la santé en ligne et le commerce électronique.

 

Autres réseaux régionaux et internationaux

Le CEPD participe également à d’autres réseaux afin de soutenir des initiatives régionales qui visent au renforcement de la protection des données dans le monde entier.

Ceux-ci comprennent le Global Privacy Enforcement Network (GPEN) ou réseau mondial d’application de la législation pour la protection de la vie privée, le Forum des autorités chargées de la protection de la vie privée pour l’Asie-Pacifique (APPA), l’Association francophone des autorités de protection des données à caractère personnel (AFAPDP), et le réseau ibéro-américain de protection des données (RIPD). Nous avons également contribué activement aux travaux du groupe de travail «article 29» et du Forum économique Asie-Pacifique (APEC) afin d’élaborer un référentiel commun pour les règles institutionnelles contraignantes de l’UE et participons aux réunions d’autres réseaux régionaux telles qu’une réunion des autorités nordiques chargées de la protection des données et la réunion des commissaires chargés de la protection des données d’Europe centrale et orientale (CEEDPA)

Le CEPD participe régulièrement aux ateliers annuels de traitement des dossiers organisés par les autorités chargées de la protection des données (APD) en Europe (y compris des pays tiers tels que le Monténégro, qui accueille l’atelier 2016). Ces ateliers sont des forums utiles pour discuter de questions pratiques au niveau opérationnel et réunir le personnel des APD (responsables du traitement des plaintes et inspecteurs par exemple) de toute l’Europe. Les thèmes des ateliers mis en œuvre comprennent le droit à l’oubli par les moteurs de recherche, le traitement des données par des enquêteurs/détectives privés, la CCTV, l’évaluation des risques-clients (credit scoring) et la lutte contre le blanchiment d'argent.

 

Groupe de Berlin

Le groupe de travail international sur la protection des données dans les télécommunications (IWGDPT) remplit la fonction de mécanisme d'alerte précoce destiné à attirer l'attention des autorités chargées de la protection de la vie privée et des données dans le monde entier sur les nouveaux enjeux technologiques concernant la protection des données à caractère personnel. Il est reconnu en tant que groupe d’experts par la Conférence internationale des commissaires à la protection des données et à la vie privée.

L’IWGDPT est également appelé le groupe de Berlin, étant donné qu’il a été fondé à l’initiative du Commissaire de Berlin à la protection des données et la liberté de l’information qui facilite ses travaux depuis le début. Aujourd’hui, le groupe se compose d’autorités chargées de la protection des données et de la vie privée d’Europe, d’Amérique, d’Asie-Pacifique et d’Afrique ainsi que d’experts juridiques et techniques triés sur le volet, issus de la société civile, des universités et des entreprises. Le groupe est soutenu par plusieurs autorités chargées de la protection des données, dont le CEPD.

Le groupe fournit à ses membres et au public des documents de travail sur des évolutions technologiques spécifiques et leur incidence sur la protection de la vie privée et des données.