Protection des données : le contrôleur européen des données (CEPD)frappe un grand coup . Des lacunes , absence d’approche globale, manque de cohérence dans les propositions de la Commission

Peter Hustinx, le CEPD, avait certes fait part de certaines critiques au moment de la présentation des propositions de la Commission européenne, mais l’approbation  enthousiaste l’emportait (CF. Nea say N° 118). Ce n’est plus le cas même si la révision du cadre datant de plus de 17 ans est la « bienvenue ».Elle renforce les sauvegardes des données des internautes et prévoit des sanctions contre les entreprises négligentes, mais il y a un manque de cohérence : protection des données d’un côté,  coopération policière de l’autre. Ces règles ne s’appliqueront pas aux institutions européennes fait-il également remarquer. Les dérogations sont trop nombreuses. Et sur ce point trop de liberté est laissée aux Etats membres pour y déroger au nom de « l’intérêt général ». Le Contrôleur regrette l’absence d’une définition claire de l’intérêt général, une série de motifs mal définis permettant de ne pas appliquer les normes et standards. Il juge peu compréhensible l’impact de ces nouvelles règles sur les accords internationaux de transferts de données personnelles comme les accords PNR avec l’Australie ou les Etats-Unis. Le CEPD reprend à son compte les critiques de la CNIL (cf. Nea say) sur les pouvoirs que la Commission se donne, comme le fait de pouvoir casser une décision qui aurait été rendue par une autorité nationale. Elle encourage donc la Commission à avoir une approche plus réservée : son intervention devrait se limiter essentiellement aux cas de violation manifeste des règles européennes.

À propos de ces mesures, Peter Hustinx déclare: « Le règlement proposé constitue un grand pas en avant pour le droit à la protection des données en Europe. Toutefois, nous sommes malheureusement encore et toujours loin d’un ensemble cohérent de règles de protection des données au niveau national et européen dans tous les domaines de la politique de l’UE. Les propositions sont décevantes en matière pénale et laissent également de nombreux instruments de protection des données existants au niveau de l’UE inchangés, comme les règles de protection des données pour les institutions et organes de l’UE ainsi que tous les instruments spécifiques en matière pénale. »

Le CEPD accueille favorablement le règlement comme un instrument directement applicable dans les États membres, car il mettra fin à de nombreuses complexités et incohérences découlant de la mise en oeuvre dans le droit national. Les règles renforceront les droits des individus et responsabiliseront davantage les responsables de traitement quant à la manière de traiter les données personnelles. En outre, le rôle et les pouvoirs des autorités nationales de contrôle (séparément et conjointement) se verront réellement renforcés.

Cependant le CEPD émet des  réserves, notamment quant:

      -.  aux possibilités de restreindre les principes et droits de base;

      -.  aux dérogations possibles dans le cadre du transfert de données vers des pays tiers;

      -.  aux pouvoirs excessifs accordés à la Commission dans le mécanisme destiné à garantir la cohérence au niveau des différentes autorités de contrôle;

      -.  aux nouvelles exceptions au principe de limitation de la finalité.

En ce qui concerne la proposition de directive, le CEPD considère que plusieurs aspects de la proposition ne répondent pas à l’exigence d’un niveau uniforme et élevé de protection des données. Peter Hustinx, CEPD, déclare: « Les règles proposées pour la protection des données en matière pénale sont d’une faiblesse inacceptable. Dans de nombreux cas, il n’y a aucune justification quant à l’écart par rapport aux règles prévues dans la proposition de règlement. En matière pénale, certaines règles spécifiques sont nécessaires, mais ne doivent en aucun cas abaisser le niveau général de protection des données. »

Le CEPD est préoccupé en particulier en ce qui concerne:

      -.  le manque de sécurité juridique quant à l’utilisation ultérieure de données à caractère personnel par les autorités policières et judiciaires;

      -.  l’absence d’une obligation générale pour les autorités policières et judiciaires de démontrer la conformité avec les exigences de protection des données;

      -.  les conditions insuffisantes encadrant les transferts vers des pays tiers;

      -.  les pouvoirs indûment limités des autorités de contrôle.

Texte complet de l’avis du CEPD (EN) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07_EDPS_Reform_package_EN.pdf

Portail du cadre législatif de la réforme http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/Reform_package

 

 

Adeline Silva Pereira

Après avoir effectué la deuxième année du master Sécurité Globale analyste politique trilingue à l'Université de Bordeaux, j'effectue un stage au sein d'EU Logos afin de pouvoir mettre en pratique mes compétences d'analyste concernant l'actualité européenne sur la défense, la sécurité et plus largement la coopération judiciaire et policière.

Laisser un commentaire