Le CEPD enquête sur les activités électorales de l’année 2019 du Parlement européen et prend des mesures d’exécution
Le Contrôleur européen de la protection des données (CEPD) mène une enquête sur le recours du Parlement européen à une société d’organisation de campagnes politiques établie aux États Unis dans le cadre des élections parlementaires européennes de 2019, a annoncé aujourd’hui le contrôleur adjoint européen à la protection des données.
Wojciech Wiewiórowski, contrôleur adjoint à la protection des données, a déclaré: «Les élections parlementaires européennes ont fait suite à une série de controverses électorales, tant au sein des États membres de l’UE qu’à l’étranger, qui étaient axées sur la menace d’une manipulation électronique. Des règles strictes en matière de protection des données sont essentielles pour la démocratie, en particulier à l’ère numérique. Elles contribuent à renforcer la confiance dans nos institutions et dans le processus démocratique en encourageant une utilisation responsable des données à caractère personnel et le respect des droits individuels. Dans cet esprit, en février 2019, le CEPD a pris des mesures proactives et déterminantes dans l’intérêt de tous les citoyens de l’UE afin de veiller à ce que le Parlement européen observe les normes les plus élevées en matière de collecte et d’utilisation de données à caractère personnel. Au cours de cette enquête, il a été encourageant de constater qu’un bon niveau de coopération s’est établi entre le CEPD et le Parlement européen.»
Les campagnes électorales font actuellement l’objet d’un examen approfondi. Le CEPD s’emploie activement à rechercher des solutions aux défis que représente la manipulation électronique des élections, tandis que le Parlement européen, de son côté, a adopté une résolution en mars 2019 visant à protéger les élections européennes contre les utilisations abusives de données. La protection des données joue un rôle fondamental pour garantir l’intégrité électorale et doit donc être traitée comme une priorité dans la planification de toute campagne électorale.
L’une des activités de campagne du Parlement européen en vue des élections européennes de cette année a consisté à promouvoir la participation du public par l’intermédiaire d’un site internet baptisé thistimeimvoting.eu. Ce site internet a collecté les données personnelles de plus de 329 000 personnes intéressées par la campagne électorale, lesquelles ont été traitées au nom du Parlement par la société américaine NationBuilder. Compte tenu de la controverse passée au sujet de cette société, le CEPD a ouvert une enquête de sa propre initiative en février 2019 afin de déterminer si l’utilisation de ce site internet par le Parlement et les opérations de traitement connexes de données à caractère personnel étaient conformes aux règles applicables aux institutions de l’UE visées dans le règlement (UE) 2018/1725. L’enquête est en cours.
L’enquête sur le recours du Parlement européen à NationBuilder a abouti au premier blâme jamais donné par le CEPD à une institution de l’UE: une violation par le Parlement de l’article 29 du règlement (UE) 2018/1725 concernant la sélection et l’agrément de sous-traitants utilisés par NationBuilder. Un deuxième blâme a ensuite été émis par le CEPD au motif que le Parlement a omis de publier une déclaration conforme relative à la protection de la vie privée pour le site internet thistimeimvoting dans le délai fixé par le CEPD. Dans les deux cas, le Parlement européen s’est conformé aux recommandations du CEPD.
Les mesures prises par le CEPD ne se limitent pas à des blâmes. Le CEPD continuera de contrôler les procédures du Parlement européen en matière de protection des données, maintenant que ce dernier a terminé d’informer les personnes physiques de son intention révisée de conserver les données à caractère personnel collectées par le site internet thistimeimvoting jusqu’en 2024. Le résultat de ces contrôles pourrait donner lieu à des constatations supplémentaires. Le CEPD a l’intention de terminer cette enquête avant la fin de l’année.
Le CEPD attend des institutions, offices, organes et agences de l’UE qu’ils montrent l’exemple en veillant à ce que les intérêts de toutes les personnes qui vivent dans l’UE soient dûment protégés en cas de traitement de leurs données à caractère personnel. Cela requiert une coopération accrue et une meilleure compréhension entre le CEPD et les institutions de l’UE qu’il contrôle.
Informations générales
Les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le nouveau règlement (UE) 2018/1725. Ces règles remplacent celles énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation ayant une incidence sur la vie privée, et de coopérer avec des autorités de même nature afin de garantir une protection des données qui soit cohérente. Notre mission consiste également à sensibiliser aux risques et à protéger les droits et libertés des personnes lors du traitement de leurs données à caractère personnel.
Wojciech Wiewiórowski, contrôleur européen adjoint de la protection des données, a été nommé par décision conjointe du Parlement européen et du Conseil le 4 décembre 2014 pour un mandat de cinq ans.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. Par exemple: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication, ou fournies par ces derniers, sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d’une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: aux termes de l’article 4, paragraphe 1, du règlement (UE) n° 679/2016, on entend par traitement de données à caractère personnel «toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction». Voir le glossaire figurant sur le site web du CEPD.
Les pouvoirs du CEPD sont clairement définis à l’article 58 du règlement (UE) 2018/1725.