CEPD: les institutions de l’UE ne cessent de progresser
Les institutions et organes de l’UE réalisent des progrès constants dans la mise en œuvre des règles de protection des données. C’est la conclusion du rapport publié hier par le Contrôleur européen de la protection des données (CEPD) sur son dernier état des lieux.
Giovanni Buttarelli, Contrôleur européen de la protection des données, a déclaré à ce propos: «En tant qu’autorité de contrôle indépendante de l’UE, le CEPD a pour mission de veiller à ce que les institutions de l’Union continuent de respecter leurs obligations en matière de protection des données. Les institutions elles-mêmes sont responsables de l’application des règles et de l’intégration des principes de protection des données dans leur travail quotidien. Je suis ravi que les résultats de notre enquête confirment qu’elles respectent de plus en plus leurs obligations.
Tous les deux ans, le CEPD réalise une enquête sur certains domaines de la protection des données dans toutes les institutions européennes qu’il supervise. Au total, 61 institutions européennes ont été sondées lors du dernier exercice sur l’état des registres et des inventaires. Ces derniers contiennent des informations sur chaque opération impliquant un traitement de données à caractère personnel (par exemple la collecte, l’utilisation, le partage, etc.). L’enquête portait également sur d’autres domaines, tels que les transferts vers des pays tiers et la manière dont les délégués à la protection des données sont impliqués dans le développement de nouvelles opérations de traitement.
De manière générale, les résultats de l’enquête montrent des niveaux élevés de conformité aux obligations en matière de protection des données et aux principes de respect la vie privée dans les services de l’UE. Les institutions plus anciennes, plus établies, doivent désormais se concentrer sur la tenue d’inventaires appropriés et sur la notification de toute nouvelle opération de traitement (ou modification de ces opérations) à leurs délégués à la protection des données et au CEPD.
Les institutions plus récentes ont rattrapé plusieurs agences notifiant 100 % de leurs activités de traitement.
D’autres institutions sont à la traîne et pour celles-ci, le CEPD assurera un suivi et prendra des mesures, le cas échéant. Ces mesures pourraient inclure des activités d’orientation ciblées, une assistance et une formation, ou des mesures plus fermes.
Wojciech Wiewiórowski, contrôleur adjoint à la protection des données, a déclaré: «Bien que l’enquête soit de nature technique et se concentre sur le respect formel des règles en matière de protection des données, elle est également utile pour évaluer l’état d’avancement et les tendances générales. L’enquête et le rapport indiquent aux institutions de l’UE, et à toute personne intéressée, qu’elles sont évaluées de manière équitable; les résultats orientant les choix que nous faisons en ce qui concerne les activités de contrôle et de mise en application du CEPD pour l’année à venir, la procédure promeut la transparence. Lorsque les progrès sont lents ou adoptent un rythme moins soutenu, par exemple en matière de notification au CEPD, nous apporterons un soutien aux institutions afin de veiller à ce que la protection des données devienne un réflexe.»
Toutes les institutions européennes traitent des données à caractère personnel à des fins administratives, telles que la gestion des ressources humaines, et certaines le font dans le cadre de leur activité principale, par exemple la gestion de bases de données et les enquêtes antifraude. Par conséquent, le respect par les institutions européennes des règles en matière de protection des données concerne toute personne dont les données à caractère personnel sont traitées par ces institutions, qu’il s’agisse du personnel de l’UE, des bénéficiaires de subventions de l’UE, des personnes enregistrées dans une base de données, ou d’autres.
Informations générales
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l’UE. La protection des données est un droit fondamental, protégé par la législation de l’UE et consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
L’article 28, paragraphe 1, du règlement (CE) nº 45/2001 oblige les institutions et organes de l’Union à informer le CEPD lorsqu’elles élaborent des mesures administratives relatives au traitement de données à caractère personnel. L’article 46, point d), du règlement impose au CEPD l’obligation de conseiller l’ensemble des institutions et organes communautaires, soit de sa propre initiative, soit en réponse à une consultation pour toutes les questions concernant le traitement de données à caractère personnel, en particulier avant l’élaboration par ces institutions et organes de règles internes relatives à la protection des libertés et droits fondamentaux des personnes à l’égard du traitement des données à caractère personnel.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d’exemples: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finals de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d’une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Responsabilisation: en vertu de ce principe, les institutions et organes de l’UE mettent en place tous les mécanismes et systèmes de contrôle internes nécessaires à garantir le respect de leurs obligations en matière de protection des données et être en mesure de démontrer ce respect aux autorités de contrôle telles que le CEPD.
L’enquête 2013 du CEPD et le communiqué de presse sont disponibles sur le site web du CEPD.