Rapport annuel 2019 du CEPD: les nouvelles règles de l’UE en matière de protection des données doivent produire les résultats promis
Grâce à une nouvelle législation sur la protection des données dans l’UE désormais en place, notre plus grand défi à relever en 2020 et au-delà est de faire en sorte que cette législation produise les résultats escomptés, a déclaré aujourd’hui le Contrôleur européen de la protection des données (CEPD), au moment de la publication de son rapport annuel 2019.
Wojciech Wiewiórowski, Contrôleur européen de la protection des données, a déclaré: «La prise de conscience des problématiques concernant la protection des données et le respect de la vie privée, ainsi que de l’importance de protéger ces droits fondamentaux, n’a jamais été aussi aiguë et nous ne pouvons pas la laisser faiblir. Avec la mise en place d’un nouveau Parlement européen et d’une nouvelle Commission, l’élaboration d’une réponse efficace aux défis de l’ère numérique constitue une priorité absolue et doit inclure la garantie que les nouvelles règles en matière de vie privée et de communications électroniques demeurent solidement inscrites à l’ordre du jour. Le CEPD a l’intention de contribuer pleinement à ces efforts, tout en veillant à ce que les institutions de l’UE maintiennent elles-mêmes les normes les plus strictes en matière de protection des données.»
Le rapport annuel donne un aperçu de toutes les activités du CEPD en 2019, qui était la dernière année d’un mandat de cinq ans du CEPD. Les activités du CEPD ont donc principalement consisté à consolider les réalisations des années précédentes, à évaluer les progrès accomplis et à commencer à définir des priorités pour l’avenir. En particulier, il convient de noter que le CEPD s’efforce de veiller à ce que les nouvelles règles de l’UE en matière de protection des données soient mises en œuvre.
En tant qu’autorité de contrôle de la protection des données pour les institutions et organes de l’UE, le CEPD a consacré beaucoup de temps et d’efforts pour faire en sorte que les institutions disposent des moyens suffisants pour mettre en œuvre les nouvelles règles énoncées dans le règlement 2018/1725. Au cours de l’année 2019, cela a notamment consisté à mener des sessions de formation, publier des lignes directrices et continuer à travailler en étroite collaboration avec les délégués à la protection des données (DPD) des institutions de l’UE, entre autres activités. Le CEPD a également intensifié les activités en matière de respect de la législation, en lançant plusieurs enquêtes sur le traitement des données à caractère personnel par les institutions de l’UE. Outre la responsabilisation des institutions concernées, ces enquêtes ont contribué à renforcer la coopération et la compréhension entre les institutions de l’UE et le CEPD.
Le CEPD a également continué à travailler en étroite collaboration avec le comité européen de la protection des données (EDPB) afin d’assurer et de soutenir le secrétariat du comité et de contribuer, en tant que membre de l’EDPB, à des initiatives visant à garantir l’application cohérente du règlement général sur la protection des données (RGPD) dans l’ensemble de l’UE. Le CEPD a ainsi collaboré avec le comité pour produire le premier avis conjoint de l’EDPB et du CEPD et rendre conjointement des avis au Parlement européen.
En outre, une grande partie des activités de l’EDPS en 2019 avaient pour objectif le développement et le partage d’expertise technologique. Entre autres initiatives, le CEPD a lancé TechDispatch, une publication en ligne régulière fournissant des informations sur les nouvelles technologies et leur incidence sur la protection des données. L’institution a également développé et partagé le site web Evidence Collector (WEC), un outil qui permet de déterminer si les sites web respectent les règles en matière de protection des données.
Le CEPD devait présenter son rapport annuel au Parlement européen cette semaine. Toutefois, l’audition a été annulée en raison de restrictions liées à l’épidémie de COVID-19. Étant donné que la situation évolue encore et que le calendrier des auditions au Parlement européen sera considérablement perturbé, le CEPD a décidé de procéder à la publication du rapport annuel afin de fournir en temps utile une évaluation de la protection des données dans les institutions, organes et agences de l’UE en 2019.
À mesure que nous progressons dans l’année 2020, première année d’un nouveau mandat, le CEPD continuera de travailler avec l’EDPB, les organisations internationales et les autres acteurs afin de garantir le succès de l’UE et de favoriser d’autres efforts visant à promouvoir les droits fondamentaux des personnes et à développer une réponse efficace aux défis de l’ère numérique. Ce faisant, le CEPD continuera d’honorer et de faire avancer le travail et la vision de son regretté Contrôleur, Giovanni Buttarelli, qui est malheureusement décédé en août 2019.
Les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du Contrôleur européen de la protection des données (CEPD), sont énoncées dans le nouveau règlement (UE) 2018/1725. Ces règles ont remplacé en décembre 2018 celles contenues dans le règlement (CE) nº 45/2001.
Le CEPD est une autorité de contrôle indépendante de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation ayant une incidence sur la vie privée, et de coopérer avec des autorités de même nature afin de garantir une protection des données qui soit cohérente. Notre mission consiste également à sensibiliser aux risques et à protéger les droits et libertés des personnes lors du traitement de leurs données à caractère personnel.
Wojciech Wiewiórowski (CEPD) a été nommé par décision conjointe du Parlement européen et du Conseil pour un mandat de cinq ans, qui a commencé le 6 décembre 2019.
Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. Par exemple: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication, ou fournies par ces derniers, sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d’une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: aux termes de l’article 4, paragraphe 1, du règlement (UE) 2016/676, on entend par traitement de données à caractère personnel «toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction». Voir le glossaire sur le site web du CEPD.
Les pouvoirs du CEPD sont clairement définis à l’article 58 du règlement (UE) 2018/1725.