Rapport annuel 2010 du CEPD: un effort accru est nécessaire pour assurer une protection efficace des données personnelles dans la pratique

Aujourd'hui, Peter Hustinx, Contrôleur européen de la protection des données (CEPD), et Giovanni Buttarelli, Contrôleur adjoint, ont présenté leur rapport annuel d'activités pour 2010 à la presse. Ce rapport couvre la sixième année complète d'activité du CEPD en tant que nouvelle autorité de surveillance indépendante.

En 2010, un certain nombre de développements ont permis de favoriser une protection plus efficace des données personnelles. Cela inclut l'impact de plus en plus tangible du traité de Lisbonne qui, en fournissant une base juridique solide à la protection des données dans tous les domaines de la politique de l'Union européenne, a permis de placer la protection des données au cœur de l'agenda

politique européen. Cela comprend également la révision en cours du cadre juridique européen de la protection des données qui suscite de grandes attentes, compte tenu notamment de l'importance croissante de la protection des données au niveau international. Le programme de Stockholm et l'Agenda numérique européen revêtent également une importance considérable pour la protection de la vie privée et la protection des données.

Selon Peter Hustinx, CEPD: "Le rapport annuel montre clairement que 2010 a été une année très chargée, dynamique, mais aussi très productive pour le personnel du CEPD et la protection des données en général. Ceci s'inscrit pleinement dans la nécessité d'intensifier les efforts pour assurer une protection plus efficace de la vie privée et des données personnelles dans un monde en mutation qui est de plus en plus global, dominé par Internet et dépendant des technologies de l'information dans tous les domaines. Cette tendance affecte chacun de nous, de sorte qu'elle s'avère tout autant fondamentale pour l'UE dans son ensemble et pour les activités de l'administration européenne."

La nécessité d'intensifier nos efforts pour assurer une protection efficace des données se reflète dans les activités du CEPD en 2010. En ce qui concerne son rôle de supervision, les principaux faits marquants sont les suivants:

un changement d'approche important dans le domaine de la mise en application du règlement sur la protection des données dans l'administration européenne, afin d'assurer une mise en application plus ferme des règles. Cette nouvelle politique énonce un certain nombre de critères

visant à garantir une application proactive, cohérente et transparente des pouvoirs d'exécution du CEPD;

une extension du champ d'application de la supervision du CEPD qui, depuis l'entrée en vigueur du traité de Lisbonne, s'applique à toutes les institutions et organes de l'UE, y compris ceux opérant dans des domaines qui étaient en dehors du champ d'application de ce qui constituait auparavant le droit communautaire;

l'adoption de 55 avis de contrôle préalable relatifs aux opérations de traitement des données personnelles dans l'administration européenne. Celles-ci incluent des activités clés, tels que le Système d'alerte précoce et de réaction pour la prévention et le contrôle des maladies transmissibles, et des procédures administratives standards, notamment en matière d'évaluation du personnel, de recrutement et de promotions;

une augmentation de la complexité des plaintes reçues. En 2010, 94 plaintes ont été reçues, dont environ les deux tiers étaient irrecevables parce que relevant du niveau national. Les plaintes recevables ont concerné les questions d'accès et de rectification, d'utilisation abusive, de collecte excessive et de suppression des données. Dans 11 cas, le CEPD a conclu que les règles de protection des données avaient été enfreintes.

Dans le cadre de son rôle consultatif, le CEPD a accordé une importance particulière:

• à la modernisation du cadre juridique européen de la protection des données: le CEPD a de manière répétée recommandé une approche ambitieuse en vue de l'élaboration d'un cadre moderne et complet pour la protection des données, couvrant tous les domaines de la politique de l'UE et assurant une protection efficace dans la pratique;
• au Programme de Stockholm et à l'Agenda numérique européen: ces deux programmes clés ont une grande importance pour la protection des données et font donc l'objet d'une attention particulière dans le cadre du rôle consultatif du CEPD. Ces initiatives politiques démontrent également que la protection des données est un élément essentiel contribuant à la légitimité et l'efficacité des mesures dans les domaines concernés;
• à un nombre record de 19 avis législatifs: en 2010, des avis ont été adoptés sur des questions majeures concernant par exemple la sécurité intérieure de l'UE, la Stratégie antiterroriste de l'Union, l'approche globale en matière de transferts de données PNR vers des pays tiers, la gestion de l'information dans l'espace de liberté, de sécurité et de justice, le principe du "Privacy by design" dans l'Agenda numérique européen, et l'accord ACTA;
• au rôle du CEPD dans les affaires portées devant la Cour: la décision la plus importante rendue par la Cour de justice européenne en 2010 a trait à l'affaire C-518/07, Commission/République fédérale d'Allemagne. Dans cet arrêt, la Cour a insisté sur le fait que les autorités de protection des données devaient agir en "toute indépendance", jugement qui aura un impact important sur le nouveau cadre juridique.

Dans le domaine de la coopération, le CEPD a travaillé en étroite collaboration avec les autorités nationales de protection des données au sein du Groupe de travail de l'Article 29 pour se concentrer sur l'interprétation des principales dispositions de la directive européenne sur la protection des données et fournir une contribution commune à la révision du cadre juridique européen. Un travail important a également été accompli en matière de "supervision coordonnée" du système EURODAC et du Système d'information douanier, pour lesquels les responsabilités de surveillance sont partagées avec les autorités nationales de protection des données.

Les principales priorités du CEPD pour l'année à venir comprennent:

• la révision de la Directive sur la conservation des données: dans son récent avis sur le rapport d'évaluation de la directive, le CEPD a conclu que la directive ne répondait pas aux exigences imposées par les droits fondamentaux à la protection de la vie privée et des données personnelles. Un examen plus approfondi de la nécessité et de la proportionnalité de cet instrument est nécessaire;
• le suivi de la mise en oeuvre des aspects liés aux technologies de l'information de la stratégie

Europe 2020 prévue dans le cadre de l'Agenda numérique européen, tels que la RFID, le "cloud computing", l'administration en ligne et la mise en application en ligne des droits de propriété intellectuelle;

• d'autres initiatives pouvant affecter de manière significative la protection des données, telles que les initiatives dans le domaine des transports (utilisation de scanners corporels dans les aéroports, de matériel d'enregistrement dans les transports routiers, paquet e-Mobility, par exemple) et les échanges de données à grande échelle qui peuvent avoir lieu dans le Système d'information sur le marché intérieur;
• l'analyse des conséquences liées à des nouvelles opérations de traitement et la garantie que les principes de responsabilisation et de "Privacy by design" sont correctement mis en œuvre par l'administration européenne;
• le suivi de l'application des règles de protection des données par les institutions et organes européens, en lançant des exercices de supervision, à la fois à un niveau général et de manière ciblée. Des inspections sur place seront effectuées dans les cas où le CEPD aura des motifs sérieux de croire que le mécanisme de respect des règles est bloqué, et ce parallèlement aux inspections et audits qui seront entrepris dans le domaine des systèmes d'information à grande échelle;
• la participation active à la "supervision coordonnée" des systèmes d'information à grande échelle, tels que Eurodac, le Système d'information douanier et - à partir de mi-2011 - le Système d’information sur les visas, et la conduite d'audits de sécurité réguliers.