Respect des règles de protection des données dans l'administration européenne: le CEPD fait état des progrès réalisés et entend renforcer les vérifications en pratique

Le contrôleur européen de la protection des données (CEPD) a publié son second rapport général visant à évaluer les progrès accomplis dans la mise en œuvre des règles et principes de protection des données par les institutions et organes communautaires, tels que définis dans le règlement sur la protection des données (règlement (CE) No 45/2001).

Le rapport montre que les institutions communautaires ont généralement bien progressé dans le respect de leurs obligations en matière de protection des données. Un niveau plus faible de conformité est observé dans les agences communautaires, mais le CEPD encouragera et suivra de près les progrès effectués.

Peter Hustinx, CEPD, déclare: "Je suis heureux de constater les progrès réalisés par les institutions et agences communautaires dans le respect des règles de protection des données. Des progrès supplémentaires sont cependant nécessaires pour traduire ces obligations légales en mesures techniques et organisationnelles permettant d'assurer pleinement les garanties relatives à la vie privée. Dans mon rôle en tant que contrôleur, j'entends continuer à encourager le respect du règlement dans l'administration européenne en évaluant les progrès accomplis, y compris par des vérifications sur place plus systématiques, et en fixant des objectifs si nécessaire".

Principaux résultats dans les institutions

En ce qui concerne la mise en œuvre des règles de protection des données dans les institutions communautaires, le rapport met en évidence les résultats suivants:

• inventaire des opérations de traitement des données: le CEPD est satisfait que toutes les institutions sauf une disposent maintenant d'un inventaire des opérations de traitement des données, ce qui permet une approche plus systématique en matière de mise en œuvre;
• notification des traitements de données par les responsables du traitement^(*) aux délégués à la protection des données^(**) (DPD): le CEPD relève l'augmentation du nombre d'institutions ayant achevé le processus. Fin 2008, au moins six institutions pouvaient confirmer que tous les traitements avaient été notifiés au DPD. Il n'y en avait que deux début 2008;
• notification des traitements au CEPD aux fins de contrôle préalable^(***): seules deux institutions ont jusqu'à présent notifié au CEPD tous les traitements existants présentant des risques spécifiques pour contrôle préalable. Il y toutefois lieu de considérer que, dans la plupart des institutions, tous les traitements identifiés auront été notifiés au CEPD d'ici fin 2009.

Principaux résultats dans les agences

Le CEPD note les progrès réalisés dans l'identification des opérations de traitement et dans l'adoption de mesures d'exécution concernant les fonctions du DPD. Le niveau de notification des traitements au DPD et des notifications au CEPD pour contrôle préalable est cependant généralement très faible. Seule une agence a pu signaler que toutes les opérations identifiées avaient été notifiées à la CEPD.

Le CEPD considère comme un signe positif le fait que, même si aucune ou très peu de demandes ont été reçues des personnes concernées pour accéder aux données en vertu du règlement, les institutions envisagent la mise en place d'outils internes destinées à assurer le suivi de ces demandes.

Etapes ultérieures

Le CEPD encouragera et suivra de près les progrès réalisés, en particulier dans les institutions et agences où le niveau de conformité dans le domaine de la notification au DPD et du contrôle préalable par le CEPD doit être amélioré. Le CEPD mettra particulièrement l'accent sur un meilleur respect des règles de protection des données dans les agences, notamment en soulignant l'importance du respect du règlement au niveau des équipes de direction.

Le CEPD procédera plus systématiquement à des inspections sur place afin de vérifier les pratiques et d'encourager le respect du règlement. Des requêtes supplémentaires visant à évaluer à nouveau les progrès réalisés seront envoyées ultérieurement par le CEPD.

(*) Responsable du traitement: personne ou entité administrative (par exemple, un directeur général ou un chef d'unité de la Commission européenne) qui détermine les finalités et les moyens du traitement de données à caractère personnel pour le compte d'une institution ou d'un organe.

(**) Délégué à la protection des données: en application du règlement sur la protection des données, chaque institution ou organe communautaire doit désigner un délégué à la protection des données (DPD). Son rôle principal est d'assurer, de manière indépendante, l'application du règlement dans l'institution ou organe concerné.

(***) Contrôle préalable: selon le règlement, les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités sont soumis au contrôle préalable du CEPD. Cela concerne par exemple les traitements de données relatives à la santé ou à des suspicions, ainsi que les traitements destinés à évaluer des aspects de la personnalité des personnes concernées, tels que leur compétence, leur rendement ou leur comportement.