CEPD: meilleure responsabilisation des institutions et organes de l'UE et implication des délégués à la protection des données pour une protection accrue
Le Contrôleur européen de la protection des données (CEPD) a adopté aujourd'hui sa politique en matière de consultations dans le domaine de la supervision et de la mise en application visant à conseiller les institutions et organes de l'UE ainsi que les délégués à la protection des données (DPD) en matière de consultation du CEPD lors de l'élaboration de mesures ou de règles internes impliquant le traitement de données personnelles conformément au Règlement de protection des données (CE) n°45/2001.
Chaque jour, des informations personnelles sont traitées au sein de l'administration de l'UE en vertu de mesures ou de règles internes élaborées par chaque institution ou organe, qui est tenu par ailleurs d'assurer la protection de ces données dans tout traitement réalisé. Le recrutement et l'évaluation du personnel, les procédures de marchés publics, les réclamations ou demandes d'information, la vidéosurveillance et la maintenance de bases de données sont quelques exemples de traitements de données pouvant affecter le personnel et les citoyens.
Giovanni Buttarelli, Contrôleur adjoint, déclare: "Afin de garantir le respect du droit fondamental à la protection des données du personnel et des citoyens, les institutions et organes de l'UE doivent être responsabilisés quant à l'élaboration et la mise en œuvre de mesures internes et demander, dès le départ, l'avis professionnel de leur délégué à la protection des données. Si des conseils sont nécessaires, par exemple dans des cas complexes ou pouvant entraîner des risques appréciables pour les droits et libertés des personnes concernées, le délégué ou l'institution peut consulter le CEPD."
Ainsi, par cette politique, le CEPD souligne que les institutions et organes de l'UE doivent être pleinement conscients de leurs responsabilités en matière de protection des données. Ce principe garantit que lorsqu'une institution ou un organe élabore des mesures qui touchent aux droits de protection des données, il convient tout d'abord de s'assurer qu'une attention suffisante soit accordée au respect des obligations légales avant l'adoption des mesures en question.
Un des moyens les plus efficaces en la matière est d'impliquer le délégué à la protection des données dès le départ et de lui demander conseil. Il ou elle assure, de manière indépendante, que les dispositions légales soient bel et bien respectées, et que les droits et libertés des individus ne soient pas affectés par les opérations de traitement.
Informations générales
L'article 28 (1) du Règlement de protection des données oblige les institutions et organes de l'UE à informer le CEPD lorsqu'elles élaborent des mesures administratives relatives au traitement de données personnelles. L'article 46 (d) du Règlement impose au CEPD de conseiller l'ensemble des institutions et organes, de sa propre initiative ou en réponse à une consultation, pour toutes les questions concernant le traitement de données personnelles, en particulier avant l'élaboration de règles internes relatives à la protection des libertés et droits fondamentaux à l'égard du traitement des données personnelles.
Donnée personnelle: toute information concernant une personne physique (vivante) identifiée ou identifiable. Il s'agit notamment du nom, de la date de naissance, des photographies, des adresses e-mail et des numéros de téléphone. D'autres détails tels que les données de santé, les données utilisées à des fins d'évaluation et les données de trafic sur l'utilisation du téléphone, courriel ou Internet sont également considérées comme des données personnelles.
Le responsable du traitement est l'institution ou l'organe de l'UE qui détermine les finalités et les moyens du traitement des données personnelles au nom de l'institution ou de l'organe. Le responsable du traitement est également tenu de mettre en place les mesures de sécurité adéquates.
Chaque institution ou organe nomme un délégué à la protection des données (DPD). Une liste de ces délégués peut être consultée sur le site internet du CEPD.
Le principe de responsabilisation a été consacré par l'article 22 de la proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM (2012) 11 final, 25.1.2012, disponible sur:
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf