Invités lors de la dernière session parlementaire de la Commission LIBE, les deux superviseurs à la Protection des données personnelles ont présenté leur rapport 2012 sur le traitement des données dans les organes européens. Le nouveau rapport présenté à l’occasion par Peter Hustinx a rappelé succinctement les compétences de l’EDPS (European Data Protection Supervisor). Cette personnalité méconnue de l’Union Européenne remplit en fait trois rôles principaux : il contrôle l’usage fait des données personnelles par les institutions européennes, conseille le législateur européen sur ce sujet, avec un accent technique sur les problèmes liés à internet, et aide à la coordination des agences nationales de protection des données personnelles. « Il y a de plus en plus de charge de données dans les institutions, et de plus en plus d’acteurs qui les utilisent. Il y a donc de plus en plus à faire, et de plus en plus à surveiller. Le besoin de plus de protection n’a jamais été aussi fort » conclut Peter Hustinx.
L’assistant du superviseur européen, Giovanni Buttarelli, a exposé aux parlementaires le travail déjà effectué en 2012. Le superviseur surveille la gestion des données personnelles via des « protecteurs des données personnelles » dans chaque institution et organe européen, dont la présence est obligatoire. 2012 aura été une année de renforcement des liens entre superviseurs et protecteurs des données sous trois formes : le superviseur a formé de nombreux protecteurs de données sur les questions techniques, a enquêté sur leurs personnalités (pour éviter par exemple les cas de conflit d’intérêts) et est à l’origine d’un grand rapport sur leur travail. 119 enquêtes préalables à l’utilisation des données personnelles et 86 réclamations pour des manquements ont été faite par le superviseur dans la seule année 2012. Alors que dans les années passées, les principales enquêtes ont été faites au niveau des institutions, elles se sont concentrées sur les agences européennes cette année. Le superviseur a d’ailleurs fait des visites à six agences européennes susceptibles de manquer de transparence sur le traitement des données, et en envisage de nouvelles à partir de Septembre prochain.
Le rapport signale également que dans le domaine du conseil aux législateurs, le Superviseur est sollicité sur des sujets de plus en plus divers. Il a rendu comme à l’habitude des avis sur des organes européens qu’il co-préside et dans lesquels il est rapporteur, comme EURODAC, le système SIS II (Système Information Schengen II, un système de gestion des douanes) ou encore le Centre Européen de Lutte contre leur Cybercriminalité. 2012 a cependant été l’occasion pour Peter Hustinx d’explorer dans ses avis les domaines du marché du numérique, des droits des consommateurs, des transferts internationaux de données, de l’informatique en nuage, du degré de consentement nécessaire pour l’utilisation des « cookies », et surtout de la confidentialité des données issus des services publiques de santé ou encore relatives aux crédits bancaires. Son principal souci reste la modification de la directive de protection des données personnelles. Il a d’ailleurs rendu un avis sur le projet de la Commission en concluant « que les deux propositions législatives étaient toujours loin d’être suffisantes pour doter l’Europe d’un ensemble complet de règles sur la protection des données – tant au niveau national qu’au niveau de l’UE » (voir avis du 7 mars).
Le CEPD a résumé une année de coopération avec les autres acteurs de la protection des données. Elle a fait l’état des lieux de ses coopérations avec le groupe de travail « Article 29 » qui regroupe la Commission Européenne et les directeurs des Agences de Protections des Données nationales (comme la CNIL en France). Des groupes de réflexions communs à ce groupe de travail, à EURODAC, SIS II et au CELC ont été lancé sur des thèmes comme les frontières, les déplacements et l’exécution de la loi, l’administration en ligne, les affaires financières, l’avenir de la protection de la vie privée, les transferts internationaux et les nouvelles technologies.
Buttarelli a rappelé sur le dernier point que le Superviseur s’est défini de nouveaux objectifs sur 2013, en se concentrant notamment sur l’expertise des nouveaux outils de communications de l’Union Européenne, comme ses sites web, sa communication internet sur les réseaux sociaux, et ses applications smartphones. Ce travail vise à accroître la confiance que les personnes peuvent avoir dans l’Union en en améliorant la transparence. Une priorité particulière sera encore donnée à la législation sur la protection des données et sur le « computer clouding ». Le superviseur souhaite également soumettre de nouvelles idées d’améliorations des politiques dans son domaine, avec la création d’un Bureau du procureur européen chargé de lutter contre les délits affectant le budget de l’UE, ainsi que la réforme d’EUROJUST. (cf.autre article dans Nea say sur le rapport annuel de Eurojust). Considérant que les nouveaux thèmes abordés sont intéressants pour l’année à venir, les superviseurs ont également annoncé qu’ils suivront de près les travaux concernant la gestion des données personnelles dans le domaine de la finance (avec des suivis et des examens des nouvelles propositions visant à réglementer et surveiller les marchés et les opérateurs financiers) et de la santé (puisque les services de santé utilisent de plus en plus de données personnelles numériques, il est important de leur construire un cadre d’utilisation). Peter Hustinx a également promis de faire avancer les dossiers abordés en 2012, de poursuivre les inspections en espérant multiplier leur nombre, de continuer à conseiller les institutions, et à former les protecteurs des données. L’objectif reste clairement le même pour les deux intervenants : « nous poursuivrons ses activités pour la sensibilisation à la protection des données au sein de l’administration de l’UE. Le processus peut-être coûteux mais on peut limiter les coûts en s’y prenant tôt et bien.».
Beaucoup de questions ont été posé aux parlementaires sur les activités du CEPD. Sophia In’Velt (ALDE-NL) a demandé aux deux intervenants si les superviseurs avaient réussi à voir l’impact de leurs travaux dans la législation européenne, et si l’agence avait été consulté sur la question FATCA, un projet américain qui oblige les acteurs financiers européens a donné des données bancaires de leurs clients américains à des fins de prélèvements fiscaux. Le superviseur a répondu à la première question qu’il a pu constater que ses conseils sont entendus dans la législation européenne, ce qui n’est pas étonnant vu l’influence de son expertise à aux trois moments du processus. Lors de l’initiative de la Commission, son avis technique est recherché et les rapports du CEPD sont toujours une base de travail. Le moment de la codécision entre le Parlement et le Conseil est un second moment d’influence du superviseur, toujours par ses conseils techniques. Enfin, le superviseur éclaire également les jugements de la Cour de Justice Européenne, et influence donc la jurisprudence européenne. De part cet influence, Peter Hundrix est sûr que si l’Union Européenne entreprend des démarches concernant FATCA, son avis sera sollicité.
Le Président de la Commission LIBE, Juan Fernando Lopez Aguilar (S&D-SP), a signalé qu’il espérait plus de coordination entre les Agences de Protection des données et les institutions européennes, la protection des données personnelles restant largement une compétence nationale. Le superviseur a confirmé que cette volonté doit être centrale. Rebondissant sur une critique du parlementaire du non-inscrit, Andrew Brons, qui reprochait au CEPD de ne rien faire contre la collecte de données politiques personnelles sous prétexte de lutte contre le terrorisme dans les états-membres, Peter Hustinx a rappelé que la lutte contre ces utilisations n’est pas de son ressort, mais de celui de la Cour Européenne de Justice de par la Charte des Droits Fondamentaux.
Yoann Fontaine.
Pour en savoir plus
– Enregistrement de la réunion
http://www.europarl.europa.eu/ep-live/fr/committees/video?event=20130529-1000-COMMITTEE-LIBE
– Rapport complet du CEPD 2012 (en)
– Résumé du Rapport du CEPD 2012 (fr)
– Opinion du CEPD sur le règlement relatif à la protection des données (fr)
– Document de référence sur le rôle de protecteurs des données (fr)
– Projet de rapport de Jan Philipp Albrecht
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd
– Projet de rapport de Dimitrios Droutsas
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf
– Dossier de Nea say sur la protection des données personnelles
http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=129&lang=fra&lst=0&arch=0&nea=129&idssth=204