Le CEPD publie des lignes directrices sur l’utilisation des communications électroniques et des dispositifs mobiles
Le 17 décembre 2015, le Contrôleur européen de la protection des données (CEPD) a publié deux séries de lignes directrices destinées aux institutions et organes de l’UE: l'une sur les données à caractère personnel et les communications électroniques (e-communication) et l'autre sur les données à caractère personnel et les dispositifs mobiles. Ces lignes directrices fournissent des conseils pratiques aux organisations sur l’intégration des principes de protection des données dans leur gestion des courriers électroniques, de l’internet et de la téléphonie à des fins professionnelles.
Wojciech Wiewiórowski, contrôleur adjoint à la protection des données, a déclaré à ce propos: «les communications électroniques constituent un domaine technologique complexe et dynamique qui joue un rôle central pour la plupart d’entre nous dans notre vie professionnelle et personnelle quotidienne. L’utilisation de dispositifs mobiles ajoute à la complexité. Nos lignes directrices visent à aider les institutions de l’UE à se conformer à leurs obligations en matière de protection des données. Toutefois, toute personne ou organisation intéressée par la protection des données dans ces deux domaines peut juger ces lignes directrices utiles étant donné que le règlement sur la protection des données applicable aux institutions de l’UE présente de nombreuses similarités avec la directive sur la protection des données, qui est mise en œuvre dans la législation nationale des États membres de l’UE.»
Les organisations qui utilisent les communications électroniques traitent par exemple les informations à caractère personnel de leurs employés dans le cadre de la gestion des services de communication électronique, de la facturation et de la vérification d’un usage autorisé. Dans la plupart des cas, l’usage privé d’équipements de travail est autorisé, de sorte que l’ingérence d’un employeur au sujet de l’utilisation des communications électroniques par les employés affectera probablement des aspects directement liés à leur vie privée.
L’avantage des dispositifs mobiles, tels que les téléphones, les tablettes, les ordinateurs portables et les netbooks, est qu’ils permettent au personnel de travailler à distance. Ces dispositifs présentent des risques communs en raison de leur portabilité et de leur petite taille; les mesures visant à atténuer ces risques, telles que l’accès sécurisé aux réseaux des bureaux, doivent être spécifiquement adaptées.
Les dispositifs mobiles et les communications électroniques sont des sujets complexes qui requièrent des orientations. Ces domaines sont deux des domaines technologiques les plus dynamiques et font l’objet d’une évolution rapide. Ces lignes directrices insistent clairement sur les principes généraux de protection des données qui aideront les institutions de l’UE à se conformer au règlement sur la protection des données.
Elles se basent sur les années d’expérience pratique acquise grâce aux travaux de supervision du CEPD, sur les précédents avis et décisions du CEPD (sur les consultations administratives, les contrôles préalables et les réclamations), ainsi que sur les travaux réalisés par le groupe de travail «Article 29».
Bien qu’elles reposent sur le cadre juridique actuel de protection des données, elles resteront pertinentes lorsque le nouveau cadre entrera en vigueur, notamment en raison de l’accent placé sur la responsabilité qui incombe aux organisations, y compris les institutions de l’UE, de démontrer qu’elles respectent leurs obligations en matière de protection des données.
Informations générales
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l’UE. La protection des données est un droit fondamental, protégé par la législation de l’UE et consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
Plus spécifiquement, les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation qui ont une influence sur la vie privée et de coopérer avec des autorités similaires afin de garantir une protection cohérente des données.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Ils sont entrés en fonction le 4 décembre 2014, pour un mandat de cinq ans.
Stratégie du CEPD pour la période 2015-2019: Dévoilé le 2 mars 2015, le plan couvrant la période 2015-2019 résume les grands défis à relever au cours des années à venir en matière de protection des données et de respect de la vie privée, ainsi que les trois objectifs stratégiques du CEPD et 10 mesures d’accompagnement pour les réaliser. Ces objectifs sont les suivants: 1) la protection des données passe au numérique; 2) forger des partenariats à grande échelle et 3) ouvrir un nouveau chapitre consacré à la protection des données dans l’UE.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d’exemples: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finals de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d’une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: aux termes de l’article 2, point b), du règlement (CE) nº 45/2001, on entend par traitement de données à caractère personnel «toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.» Voir le glossaire sur le site du CEPD.
Les outils de communication électronique (e-communication) englobent le courrier électronique, l’internet et la téléphonie.
Dispositif mobile: tout dispositif informatique portable, par exemple, un smartphone ou une tablette.