Le CEPD se félicite de la 500ème notification pour contrôle préalable et publie en ligne un registre public de notifications pour plus de transparence
Le 30 avril, dans sa sixième année d'activité, le Contrôleur européen de la protection des données (CEPD) a reçu la 500ème notification pour contrôle préalable sur un traitement de données à caractère personnel dans l'administration européenne. Pour des raisons de transparence, un registre contenant toutes les notifications de contrôle préalable reçues par le CEPD est maintenant accessible au public sur son site Internet.
Peter Hustinx, CEPD, déclare: "Cette 500ème notification représente un jalon important dans nos activités de supervision. Cela montre non seulement que beaucoup de travail a été accompli au cours de nos cinq premières années, mais cela met également en évidence les efforts et investissements continus de la part des institutions et organes communautaires à se conformer aux obligations en matière de protection des données. Le registre public des notifications sur notre site web représente un élément clé pour assurer la transparence de nos activités de supervision".
Le CEPD saisit cette occasion pour souligner une part importante de son travail de supervision sur la base du règlement (CE) n° 45/2001 ("règlement sur la protection des données") et de revenir sur ses activités dans ce domaine.
Qu'est-ce qu'une "notification"?
Les traitements de données dans l'administration européenne susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées doivent être notifiés au CEPD pour contrôle préalable. L'objectif est de déterminer si l'administration envisage de traiter les données personnelles en respectant pleinement le règlement sur la protection des données et de conseiller sur les éventuelles améliorations nécessaires du point de vue de la protection des données. La règle veut que les notifications soient soumises avant le traitement. Toutefois, des contrôles préalables ont également été effectués pour assurer la conformité des systèmes existants ("contrôles préalables ex post").
Les traitements sont notifiés au CEPD par le délégué à la protection des données (DPD) nommé par l'institution ou l'organe concerné. Les traitements sensibles concernent par exemple les traitements de données relatifs à la santé ou aux suspicions d'infractions, les traitements destinés à évaluer la capacité ou la conduite d'une personne, et ceux visant à exclure une personne du bénéfice d'un droit, d'une allocation ou d'un contrat.
Suite à la notification d'un traitement, le CEPD vérifie si celui-ci respecte les dispositions du règlement sur la protection des données. Dans la plupart des cas, cet exercice mène à une série de recommandations que l'institution ou l'organe concerné doit mettre en œuvre afin d'assurer le respect des règles relatives à la protection des données. Une fois que le CEPD a rendu son avis, ce dernier est rendu public sur son site Internet, avec un résumé du cas en l'espèce.
Registre de notifications
Tous les traitements notifiés au CEPD sont inscrits dans un registre public, ce qui permet une mise à jour des informations relatives à un traitement. La notification contient des informations sur le responsable du traitement, la finalité du traitement, les personnes concernées, les données à caractère personnel traitées, la base juridique, les bénéficiaires, la durée de conservation des données, et les droits d'accès, de rectification et d'information de la personne concernée.
La mise en place d'un registre public de notifications remplit ainsi deux objectifs: les informations sur un traitement sont tenues à jour et ces informations sont rendues disponibles pour consultation publique. Le registre est maintenant disponible sur le site Internet du CEPD, dans la section "Supervision".
Activités de supervision du CEPD : principales tendances
Graphique 1 : Notifications reçues par institution / organe
La Commission européenne, y compris OLAF et EPSO, et les agences européennes représentent près de 60% du nombre total de notifications reçues par le CEPD. Ceci est un résultat logique si l'on considère la taille des institutions et le nombre de traitements de données personnelles.
Le CEPD se félicite également des progrès accomplis à la suite de "l'exercice du printemps 2007" - une opération lancée par le CEPD afin de faire le bilan de la mise en œuvre du règlement sur la protection des données dans tous les institutions et organes.
Graphique 2: Notifications reçues par catégorie
Les chiffres montrent clairement la prédominance de la catégorie "Evaluation" qui comprend principalement les procédures de recrutement, d'évaluation, de promotions, de certification et d'attestation du personnel de l'UE, ainsi que de flexitime et de formation.
La catégorie "Données sur la santé" ne concerne pas seulement les données médicales, mais aussi les données relatives à la santé dont le traitement peut être déclenché au cours des procédures d'invalidité ou d'indemnités, par exemple dans le cadre des certificats médicaux et d'assurance-maladie.
La catégorie "Suspicions d'infractions" se rapporte aux enquêtes administratives, aux procédures disciplinaires, au harcèlement, aux cas de l'OLAF, et aux suspicions d'infractions pénales.
La catégorie "Autres domaines" couvre les opérations liées au domaine financier, tels que les systèmes d'alerte précoce, les marchés publics et appels d'offres. Cela inclut également la vidéo surveillance, la sécurité et les connexions entre bases de données.
Les "traitements non soumis à contrôle préalable" signifient que, après analyse, le CEPD estime que ces opérations ne sont pas considérées comme présentant un "risque spécifique" dans le sens de l'article 27 du règlement sur la protection des données.
Le nombre de traitements notifiés par les DPD, ainsi que leur diversité montrent l'importance du rôle de supervision du CEPD et l'expertise développée dans ce domaine au cours des dernières années.