1 AEDH – Association pour la Défense des droits de l`Homme Rue

1
AEDH – Association pour la Défense des droits de l’Homme
Rue de la Caserne, 33
1000 Bruxelles
Numéro de registre : 0648187635-62
Consultation sur l’approche globale de la protection des données à caractère personnel
dans l’Union européenne de la Commission européenne – 15 janvier 2011
L’AEDH a analysé en détail la Communication de la Commission relative à « une approche
globale de la protection des données à caractère personnel dans l’Union européenne »1, et
souhaite tout d’abord présenter des remarques générales majeures avant de faire des
observations en suivant le plan général de la communication.
L’organisation d’une consultation par la Commission européenne relative à la modification de
la Directive de 1995 sur la protection des données personnelles2 est à saluer positivement bien
qu’après une première consultation en 2009, puis un questionnaire très détaillé en 2010,
l’AEDH estime que processus mériterait d’être accéléré. Il convient en effet de considérer la
vitesse avec laquelle les traitements de données personnelles explosent dans tous les domaines
de la vie quotidienne, sociale, administrative et politique alors qu’on assiste à un
renouvellement important des « nouvelles technologies » qui est à l’origine même de
l’initiative prise par la Commission il y déjà deux ans déjà d’annoncer la révision de la
directive.
En tout état de cause, aux vues de l’ampleur tout à fait pertinente du programme annoncé
dans la communication, mais encore trop exprimé en termes d’action futures : « la
commission étudiera », « la commission présentera parallèlement une initiative sur », etc,
l’AEDH ne peut que demander à la Commission de prendre une décision politique claire et
1
COM(2010) 609 final, 4 novembre 2010
Directive 95/46/CE du Parlement européen et du Conseil du 24 mars 1995 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données
2
2
d’en faire part publiquement. Il faudra pour cela nettement renforcer les moyens humains
sur ce dossier de manière à ce que le processus parvienne rapidement à son terme. Il en va de
la crédibilité de l’Union vis-à-vis de ses responsabilités y compris sur le plan mondial.
Compte tenu de ses réponses aux précédentes consultations sur le sujet3, l’AEDH ne peut en
effet que féliciter la Commission pour avoir élaboré la stratégie de développement d’une
politique globale qu’elle préconisait visant :
-
l’extension de base du champ d’application de la directive en vue de l’application
horizontale des principes fondamentaux à tous les secteurs d’activité, y compris au
secteur de la sécurité (ex 3ème pilier). C’est en effet la seule approche de nature à
garantir une véritable protection des personnes à l’égard de leurs données
personnelles, les risques étant à la base les mêmes et, de plus, des données peuvent
être amenées pour des finalités légitimes – y compris sur la base des critères
démocratiques dérogatoires – à être transmises d’un secteur à un autre. L’approche
proposée par la Commission, au-delà de l’abrogation ainsi réalisée de la décisioncadre4 qui prévoit la révision progressive de certains textes plus sectoriels hérités de
l’histoire de la construction européenne (Schengen, Europol etc.), est raisonnable.
Cependant le calendrier prévisionnel de ces révisions devrait être explicite ;
-
une plus grande harmonisation, rendue possible par l’expérience acquise depuis
l’adoption de la première directive de 1995,
et conduisant notamment au
renforcement et à de plus amples précisions sur certains principes de base, sur les
droits des personnes y compris en matière d’action collective, et sur les pouvoirs des
autorités indépendantes ;
-
le développement de nouvelles procédures de mise en œuvre allant jusqu’à des
procédures de certification/labellisation, tant des dispositifs technologiques que des
services pour répondre au besoin de sécurité des personnes concernées dans leur vie
quotidienne ;
-
une politique de sanctions, y compris explicitement sur le plan pénal ;
-
un renforcement des missions (contrôles coordonnés) et de la portée des travaux
interprétatifs du groupe des autorités nationales chargées de la protection des données
(G29), leur indépendance étant mieux garantie, et qui intègrerait d’emblée les pouvoirs
des diverses autorités de contrôles communes des systèmes Schengen, Europol etc. ;
-
les clarifications nécessaires en matière de droit national applicable ;
la mise en évidence de la responsabilité de l’Union européenne en termes de
promotion et de coopération en matière de protection des données.
Pour autant, selon les nombreux sujets abordés dans la communication, l’AEDH estime
nécessaire de présenter des remarques générales très importantes au regard de l’avenir de la
protection des données et de son efficience (I) ainsi que des remarques concernant des détails,
3
L’AEDH a notamment répondu à deux consultations de la Commission européenne sur le sujet : Consultation
on the Legal Framework for the Fundamental Right to Protection of Personal Data, 31 Decembre 2009 et
Stakeholder Consultation Meeting on the Review of the Data Protection regulatory Framework, 01 Juillet 2010
4
Décision-cadre 2008/977/JAI
3
qu’elles soient positives ou négatives, essentiellement à propos de certaines approches
conceptuelles (II).
I) Remarques générales
Tout d’abord, l’AEDH pense que l’harmonisation envisagée ne va pas assez loin, seule
approche pourtant capable de garantir l’équivalence et le haut niveau de protection au sein de
l’Union européenne et la sécurité juridique des acteurs du point de vue du marché intérieur,
réduisant d’autant d’ailleurs par là l’impact des questions de droit national applicable. Par
exemple, la Communication, à ce stade, n’envisage pas d’établir la liste des circonstances
dans lesquels les traitements de données présentent des risques particuliers et doivent de
ce fait faire impérativement l’objet d’un contrôle préalablement à leur mise en œuvre
par les autorités de contrôle indépendantes, même si, selon le choix des Etats membres,
leur réglementation devrait être approuvée soit par l’autorité indépendante, soit par le
parlement (selon l’article 20 de la directive actuelle). La collation des cas prévus dans les
législations nationales actuelles, qui développent le considérant correspondant, devrait
permettre d’établir cette liste sur le plan européen, en s’assurant qu’en particulier seront inclus
les traitements visant des populations vulnérables, la vidéosurveillance et la collecte
automatique de données dans le domaine du transport (carte de transport) ou au domicile des
personnes, tel que dans le cadre des Smart Grid (compteurs d’électricité dits intelligents) et les
traitement biométriques de contrôle d’identité.
La proposition devrait aussi fixer un minimum de procédure dans ces circonstances : la
consultation obligatoire des personnes concernées ou de leurs représentants, en particulier les
associations de consommateurs et les associations de défense des droits de l’homme ainsi que
la publication de la position adoptée par l’autorité de contrôle. On remarque aussi l’absence
également d’un projet d’harmonisation des délits (alors que cela a été fait en matière dite de
cybercriminalité !).
Ensuite, l’AEDH relève que le flou de certains énoncés de la communication pourrait laisser
penser que la politique envisagée dérive vers une libéralisation excessive, voire une
« privatisation », et ce à deux niveaux :
-
Au niveau des individus, vis-à-vis desquels l’information donnée au moment de la
collecte de données sur les traitements auxquels elles sont destinées leur permettrait de
faire « un choix » (en application du principe de transparence). Est ce l’approche
américaine de la concurrence entre les entreprises y compris sur le terrain de la
protection des données qui est envisagée ici ? Ce qui serait contraire à l’approche
retenue jusqu’à présent en Europe où la protection doit être assurée par tous et ne pas
constituer un élément de concurrence. Et cela bien que dans certains domaines allant
au-delà de la prestation demandée, notamment en matière de profilage à des fins de
prospection commerciale, le recueil du consentement de la personne soit une
obligation. Cette dernière approche peut être perçue comme un choix à faire, mais elle
n’a pas du tout le même sens que dans le contexte américain actuel où en l’absence de
ce consentement pour une finalité autre, la délivrance de la prestation demandée
pourrait être refusée par l’entreprise ! La notion de consentement ne doit dés lors pas
être opposable à la délivrance d’une prestation ou à la vente d’un bien ou service.
-
Au niveau du contrôle de l’application des principes de la protection d’un droit
pourtant fondamental : à aucun moment il n’est précisé que les analyses d’impact au
4
regard de la protection des données, qu’il est prévu à juste titre de développer, que les
codes de conduites professionnels dont il est prévu de stimuler l’élaboration et les
référentiels présidant aux processus de certification présentés comme relevant de
l’autorégulation, seront soumis pour approbation aux autorités indépendantes de
contrôle (ou à leur structure de coordination européenne), seule approche pourtant de
nature là encore à garantir la sécurité des personnes concernées et la libre circulation
au sein du marché intérieur. Il n’est pas prévu non plus qu’en l’absence notamment
de telles initiatives « privées » dites « d’autorégulation », sur lesquelles la
Commission insiste beaucoup, les autorités indépendantes disposeront d’un
pouvoir de recommandations, voire réglementaire pour y pallier, notamment en
cas d’usage de nouvelles technologies.
Dans d’autres domaines l’AEDH estime que la Commission fait fausse route : c’est le cas
de l’approche largement commentée sur l’information des personnes (qu’au demeurant la
Commission à juste titre propose d’étendre à des items jusqu’ici facultatifs, y compris en
matière de durée de conservation des données). Pourquoi la Commission s’étend longuement
sur la modalité d’information, à l’américaine, des « déclarations de confidentialités » longues,
non compréhensibles, qu’il faut rechercher, etc., domaine dans lequel visiblement certaines
autorités de régulation américaines n’ont pas encore fait le travail de conseil ou de
recommandations nécessaires. En effet, l’observation des pratiques et recommandations faites
dans ce domaine dans certains Etats membres de l’UE par les autorités de contrôle, montrent
que ces questions ont été résolues avec élégance et efficacité directement sur les
formulaires de collecte des données y compris en ligne à l’aide de techniques normalisées,
simples et claires, par exemple pour l’indication claire de la finalité et de l’adresse du
responsable de traitement, d’astérisques associées aux données obligatoires, de cases (non
cochées bien sur par défaut) en ce qui concerne les finalités autres, visant notamment les
prospections commerciales ultérieures en particulier au bénéfice de tiers, et selon des
formulations simples et standards, offrant ainsi aux personnes un moyen simple de donner
leur consentement, si elles le souhaitent (sans pour autant perdre le bénéfice de la prestation
demandée en application des dispositions actuelles) .
La matière des cookies aurait du être régulée de la même manière, et devrait en effet
l’être maintenant en commandant l’étude aux autorités de contrôle, indiquant les
modifications qui seraient nécessaires dans le contenu des informations relatives à un cookie
défini par l’IETF, leur exploitation par les navigateurs en fonction de leurs finalités (liste à
établir), et de recommandations en matière de durée selon les différents services qu’ils
rendent (finalités). Est-il normal en effet, en application de la directive actuelle et des
principes qu’elle pose en matière de proportionnalité et de durée de conservation, que des
sites internet de première importance de par leur trafic établis dans des Etat membres envoient
pour la consultation d’une seule page jusqu’à 8 cookies dont certains ont une durée de 20 ans
à des fins de suivi comportemental ?
Dans le domaine de la coopération internationale, que la Commission indique vouloir
poursuivre à juste titre au regard de la mondialisation des traitements et du faible
développement du droit à la protection des données, l’AEDH demande à la Commission de
bien vouloir apporter les précisions suivantes : quelle est la liste des partenariats avec des pays
tiers ou des organisations régionales qui ont été passés dans lesquels la préoccupation de la
protection des données a été actée, accompagnée d’une indication sur les moyens européens
5
mobilisés à cette fin et avec quels résultats jusqu’à présent dans chaque cas? Quels sont les
nouveaux partenariats de cette nature en cours de négociation ou envisagés ?
Enfin l’AEDH souhaite faire état de son profond étonnement devant l’absence totale de
référence à la seule convention internationale, d’ailleurs ouverte aux pays tiers, dont pourtant
la Directive de 1995 constitue explicitement un développement, la Convention 108 du
Conseil de l’Europe et son protocole additionnel sur les autorités indépendantes et les
transferts de données vers les pays tiers. Or il est bien clair que pour le moment, alors qu’on
cherche à raffermir et à promouvoir le droit à la protection des données personnelles sur le
plan mondial, cette référence est indispensable, l’ONU n’ayant pas pris d’initiative malgré les
appels lancés depuis des années pour rendre contraignant les principes directeurs qu’elle a
adoptés en 1990 dans ce domaine et de les réviser à la lumière des standards élaborés par la
conférence internationale des commissaires à la protection des données à Madrid en 2009.
Par ailleurs, la Cour des droits de l’homme de Strasbourg constitue une garantie
supranationale essentielle pour tous les citoyens et résidents des 47 pays européens
membres du Conseil de l’Europe comme elle l’a encore prouvé en 2008 avec sa décision
rendue contre un des Etat membres de l’Union européenne qui conservaient des données
génétiques et biométriques de personnes mises hors de cause dans ses fichiers de police !
L’Union européenne qui adhère à la Convention de sauvegarde des droits de l’Homme du
Conseil de l’Europe, ne devrait elle pas dans le même temps prévoir d’adhérer également à la
Convention 108 qui est d’ailleurs dans un processus également de révision ? Cette révision,
dont il est prévu qu’elle intègre un mécanisme de contrôle de la conformité de la législation
des adhérents, devrait ainsi avoir l’avantage tout à la fois de faciliter la procédure dite de
reconnaissance de l’adéquation de la protection des pays tiers et surtout de permettre que
ces pays tiers , notamment avec leurs autorités indépendantes de contrôle, participent
activement aux travaux de son comité de suivi destiné à contribuer à sa meilleure
application (recommandations sectorielles etc.).
II) Remarques particulières
Les remarques positives et suggestions associées de l’AEDH
-
Selon la Communication de la Commission, tous les principes de la Directive de 1995
sont encore pertinents. Oui, ils le sont parfaitement puisqu’ils répondent aux risques
liés à la numérisation ! De plus, ils sont cohérents avec les principes contenus dans les
instruments non contraignants internationaux, surtout avec ceux de l’ONU, un peu
moins avec les lignes directrices de l’OCDE qui ne prévoient pas de dispositions
particulières sur les données sensibles. Pour autant, compte tenu de la conjoncture
créée par les initiatives américaines, notamment le livre vert sur les données
commerciales du 15 décembre 2010 du Département du Commerce américain, on
ne peut que souhaiter que l’Union européenne encourage publiquement les USA à
rendre contraignant les principes de base contenus dans ces instruments, dont ils ont
été les concepteurs dans les années 70. D’autant que le Département du Commerce
inclut la question des données sensibles (en partie seulement cependant) et les
encourage également publiquement à les étendre de manière explicite à tous les
secteurs d’activités et vis-à-vis de toute personne quelque soit sa nationalité et son lieu
de résidence.
6
-
En ce qui concerne la définition des données à caractère personnel, oui celle-ci
doit être large et souple, et bien sur être interprétée du point de vue des personnes
concernées, étant donné l’objectif de la directive qui est de préserver un droit
fondamental alors que dans ce domaine, ce sont dans les zones d’ombre que se logent
les risques de dérapage. Par exemple les interprétations jurisprudentielles
inacceptables qui ne confèrent pas à une adresse IP le caractère de donnée à caractère
personnel.
- L’extension à tout secteur de l’obligation de notification aux personnes concernées
de toute perte, destruction, altération, transmission illégales ou accidentelles de leurs
données.
- Le renforcement du principe de minimisation des données collectées/traitées.
- L’amélioration des conditions d’exercice du droit d’accès, de rectification et
d’effacement (délais et portabilité), la clarification sur « le droit à l’oubli ».
- L’obligation envisagée pour les Etats membres de prévoir des programmes et des
moyens pour la sensibilisation sur le droit à la protection des données.
- La clarification sur le consentement
- Inclure explicitement dans les données sensibles les données génétiques.
Néanmoins, il faut également penser à y inclure les empreintes digitales.
- Les clarifications nécessaires en matière de critère du droit national applicable de
manière à assurer le même niveau de protection à tous les résidents de l’UE quelque
soit le lieu d’établissement du responsable de traitement (dans ou hors de l’UE).
- Le projet de rendre obligatoire la désignation d’un détaché à la protection des
données en harmonisant ses missions et compétences. Mais il convient de ne pas
oublier ses conditions d’indépendance, et les limites de ses compétences en matière de
traitements à risques devant être soumis pour contrôle à l’autorité de contrôle, seul
garant au jour le jour en la matière (sous le contrôle du juge).
- En matière internationale
o des transferts des données vers des pays tiers et de coopération : les
critères du niveau adéquat de protection doivent être précisés y compris en
matière de coopération à des fins répressive, mais aussi doit être prévue une
procédure d’instruction et de décision complètement transparente, ce qui
n’a pas été le cas jusqu’à présent.
o Suivre de près l’élaboration des normes techniques tels qu’élaborées au sein
du Cen et d’ISO. Il convient cependant de ne pas oublier pour internet l’IEFT
et le consortium 3W pour le web, et l’IUT, voir d’autres organisations
internationales de compétence sectorielle telles que l’OACI, le BIT ou l’OMS.
- Le renforcement des pouvoirs des autorités et de leurs moyens : à cet égard il
conviendrait certainement de faire des évaluations quantitatives des moyens nécessaires
pour qu’elles assurent de manière dynamique et effective l’ensemble de leurs missions, y
compris par rapport à leur indispensable renforcement.
Les remarques négatives, notamment sur certaines approches conceptuelles
-
-
Pourquoi la Commission fait-elle référence aux seuls consommateurs et à leurs
associations, et non pas aux citoyens dans leurs différents rôles ainsi qu’à leurs
différents aspects associatifs en référence en particulier à l’article 11 du traité UE ?
Pourquoi la Commission met-elle autant en avant le caractère technologiquement
neutre des principes de la protection, alors qu’au contraire, s’ils sont adaptés d’une
manière générales aux risques de base présentés par la numérisation, ils sont
7
-
-
graduellement renforcés en fonction du degré d’intrusion que les technologies
présentent ou en fonction de la nature des informations, notamment par rapport aux
données dites « sensibles » (par exemple les données génétiques, les technologies
biométriques, les données de localisation générées par les technologies aux normes
GSM déjà soumises pour leur transmission à un service par la directive E privacy dès
1997 au consentement préalable de la personne concernée, sollicitations commerciales
plus intrusives si effectuées à l’aide de moyens électroniques (consentement) que par
la poste (droit d’opposition), etc.…) ?
Pourquoi la Commission relaie-t-elle autant l’appréciation négative portée par les
opérateurs économiques sur la faible utilité des dispositifs de notification
préalable à leur mise en œuvre des traitements de données à caractère personnel alors
que qu’elle contient, selon les dispositions de la directive, toutes les informations de
base nécessaire à toute évaluation de l’application des principes de la protection , au
« Privacy by design » avant décision de création par le responsable de traitement, et
par les autorités de contrôle ?
Pourquoi la Commission estime-t-elle qu’il est difficile de localiser des équipements
utilisés pour des traitements de données selon les offres du Cloud computing ?
L’opérateur sait parfaitement où sont localisés ses serveurs, les adresses IP
correspondent de manière publique aux pays où elles ont été attribuées, et des
décisions peuvent être parfaitement prises. Il y a déjà eu de la part d’Etats, y compris
les USA, l’interdiction que des serveurs du « cloud » utilisés soient localisés
notamment dans le pays d’origine des données !
Si l’AEDH est satisfaite de l’effort de la Commission pour adopter une approche globale,
l’AEDH rappelle qu’il est tout de même primordial d’exprimer des propositions plus
ambitieuses, moins peureuses, et qu’il n’est pas seulement bien de les exprimer, qu’il faut
ensuite s’assurer que toutes ces idées et propositions de modifications portent leurs fruits et
que leur application soit effective. De plus, l’AEDH souligne l’importance et la nécessité
d’apporter de nombreuses précisions – car l’effectivité du droit implique très souvent de
préciser ce qui est visé.
Ces remarques générales étant faites, l’AEDH reprend ici certains points de la
Communication de la Commission en détails.
2.1 Renforcer les droits des personnes
L’AEDH, considère cette dimension comme primordiale. Elle doit viser au renforcement des
droits des citoyens européens et à plus de transparence. A cette fin, les personnes pour qui les
données sont collectées doivent impérativement non seulement être informées de façon claire,
mais aussi avoir connaissance et comprendre d’une part, en quoi la collecte de ses données
pourra l’affecter, et d’autre part qu’elle a des droits sur ces données (accès, rectification,
suppression).
Toutes les personnes ne sont pas forcément familiarisées avec la complexité des traitements et
avec la protection des données.
C’est pourquoi est impératif :
8
-
-
-
l’utilisation d’un langage clair et transparent pour que même une personne non
familiarisée à ce qu’est le traitement de l’information et ses complexité et la protection
des données personnelles puisse comprendre les dangers et les enjeux liés à cela.
La possibilité d’un contrôle effectif des personnes sur leurs données, point lié bien sûr
au précédent car si les personnes concernées n’ont pas une connaissance des enjeux
liés à la protection des données personnelles, ils ne pourront ni ne chercheront pas à
exercer leurs droits. Cette possibilité d’un contrôle effectif est partie de l’article 8 de la
Charte des droits fondamentaux.
Une grande campagne de sensibilisation, pour permettre un exercice de ses droits,
notamment pour les personnes les plus sensibles et les plus exposés aux risques (par
exemple les enfants, adolescents, les personnes démunies,…).
2.1.2. Accroître la transparence pour les personnes concernées
S’il est nécessaire d’introduire, dans le cadre juridique actuel, un principe général de
transparence pour le traitement des données personnelles, ce principe ne doit pas resté,
comme beaucoup d’autres principes, simplement énoncé mais qu’il doit aussi être appliqué
et ce de manière efficace et effective.
Soumettre les responsables des traitements à des obligations spécifiques quant au type
d’informations à communiquer et aux modalités de leur communication est une bonne idée en
soit, encore faut-il les définir clairement. Il serait également judicieux d’établir un modèle
européen auquel les responsables de traitement devraient se plier pour en informer les
personnes concernées. Le fait de n’avoir qu’un seul modèle européen couvrant par domaine
tous les types de collecte de données permettrait aux citoyens d’être plus aptes à comprendre
les enjeux et buts de ces collectes, cela faciliterait également la compréhension et l’exercice
de leurs droits.
2.1.3. Permettre aux intéressés d’exercer un meilleur contrôle sur les données les concernant
L’AEDH soutient la Commission quand elle annonce vouloir renforcer le principe de
minimisation des données (ce qui signifie de ne pas avoir la possibilité d’utiliser les données
à d’autres fins que celles prévues dans le texte législatif de base).
L’AEDH aimerait voir ce principe appliqué à tous les cas et notamment lorsque cela touche le
domaine de la justice et de la sécurité. L’AEDH pense en particulier à la question par exemple
de l’ouverture de la base EURODAC à l’agence Europol. Il ne serait pas normal que le
contenu d’une telle base de données, comprenant des données très personnelles et sensibles,
puisse être transféré à une agence sécuritaire telle Europol, agence n’ayant pas les mêmes fins
et buts que la base de données. Cela serait contraire au principe de minimisation des données.
L’AEDH salue l’effort de la Commission par rapport à sa volonté d’améliorer les modalités
d’un véritable exercice des droits d’accès, de rectification et de suppression. Nous pensons
que l’accès des citoyens à leurs données et les droits des citoyens dans ce domaine est un
point primordial de cette réforme.
Il est également important non seulement de clarifier mais surtout de renforcer le « droit à
l’oubli » et d’assurer que tout a chacun peut, quand il le souhaite légitimement, retirer des
données d’une application ou d’un service. La législation nous semble sur ce point à la fois
peu appliquée et très peu connue des citoyens.
9
2.1.4. Sensibiliser
L’AEDH salue la volonté de la Commission de vouloir cofinancer des actions de
sensibilisation à la protection des données ainsi que le fait de vouloir rendre obligatoire le fait
de mener des actions de sensibilisation. L’AEDH appuierait fortement, comme indiqué plus
haut, une proposition faisant de la sensibilisation une obligation incombant à la fois à la
Commission et aux Etats membres.
L’AEDH pense qu’il faudrait également mener des campagnes visant à expliquer aux citoyens
comment faire respecter leurs droits. Autrement dit quels sont pour eux les voies de recours
possibles pour faire respecter leurs droits. Ces actions de sensibilisation obligatoires
pourraient être menées dans le cursus scolaire par exemple, les jeunes étant confrontés très
tôt à cette question de protection de leur données personnelles.
Des expériences de sensibilisation ont déjà eu lieu en ce sens et pourraient servir d’exemple.
C’est le cas du programme européen au quel a participé l’AEDH et piloté par la Ligue
française des droits de l’Homme. La réalisation d’une bande dessinée « Sous surveillance »
avait pour but d’attirer l’attention des jeunes adultes sur les problématiques et enjeux liés aux
nouvelles technologies et à la protection des données à caractère personnel.
2.1.5. Garantir un consentement éclairé et libre
Ce point été largement développé par nous plus haut. Effectivement, il est important que la
Commission clarifie et renforce les règles liées au consentement qui doit être informé, libre
et donné de manière explicite et non implicite. Il est nécessaire d’insister de nouveau sur le
fait que le consentement individuel doit être aussi analysé par rapport à la situation dans
laquelle se trouve une personne face à la nécessité pour elle d’accéder à un bien ou un service
et ceci souvent dans un temps limité et sans surcoût.
Cette situation peut amener le fournisseur à être dans une position de force qui rend le
consentement libre illusoire. Il en est ainsi des ristournes ou des avantages liés à l’utilisation
de cartes de fidélités, voir à l’usage de cartes de transport qui garantissent un tarif de transport
préférentiel avec, en contre partie, la nécessité pour le consommateur ou l’usager de donner
des données personnelles permettant un profilage commercial.
Ainsi, il apparait primordial qu’aucune collecte des données ne puisse être faite contre
l’échange d’avantages particuliers consentis par un fournisseur de bien ou de service.
Ceci relevant de fait non du consentement, mais d’un marchandage de sa propre identité
et non conforme de fait. Si l’on n’y prend pas garde, les TICS rentrant peu à peu dans tous
les domaines de la vie, l’existence de tels marchandages conduirait insensiblement peu à peu à
la fin de la vie privée et à la fin de l’autonomie des personnes, ce qui serait contraire à l’esprit
et à la lettre de la Charte des droits fondamentaux.
Le consentement est en fait une des questions centrales et il est nécessaire de s’assurer d’une
grande homogénéité d’interprétation et de comportement par les Etats membres, une fois cette
question strictement précisée et clarifiée. Une large information sur ce point devant bien
entendu être menée auprès de tous les publics.
2.1.6. Protéger les données sensibles
La Commission souligne à juste titre l’article 8 de la Directive 95/46/CE qui dispose que
« Les États membres interdisent le traitement des données à caractère personnel qui révèlent
10
l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou
philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la
santé et à la vie sexuelle. » et la nécessité de faire évoluer cette notion notamment aux
données génétiques mais aussi plus largement à tout ce qui concerne les données biométriques
qui sont en fait la constitution de données à partir de ce qui constitue le corps des personnes.
Cependant, certaines limitations sont apportées à ce principe. En particulier au motif de la
lutte contre le terrorisme, les Etats membres ou l’Union européenne elle-même, peuvent
mettre en place des politiques sécuritaires dans lesquelles ils utilisent de fait des données
personnelles sensibles, que ce soit de manière directe ou indirecte. Par exemple, certaines
données contenues dans les PNR. Mais aussi la possibilité de traitement de ces données
sensibles, sous certaines conditions, par des agences comme Europol. Si même l’utilisation
de telles données peuvent être avérées et exceptionnelles, cette utilisation doit être
strictement contrôlée et il n’est pas acceptable que ce contrôle puisse l’être uniquement en
interne. En ce sens, au niveau européen, le rôle du Contrôleur européen de la protection des
données (CEPD) doit être renforcé, tout comme au niveau national celui des autorités
indépendantes de contrôle des données personnelles, et leur coordination en matière de
contrôle organisée. L’AEDH demande donc à la Commission de s’assurer que la nouvelle
approche et la nouvelle directive prennent en compte cette question.
2.1.7. Renforcer l’efficacité des voies de recours
Comme le reconnaît la Commission, il est primordial de disposer d’une réglementation
efficace en matière de voies de recours et de sanctions. Cependant, mais là aussi sans
renforcement des dispositions de mise en œuvre et de sensibilisation, les voies de recours
effectives risquent d’être limitées de fait.
L’AEDH salue cependant la proposition de la Commission consistant à accorder le pouvoir
de saisir les juridictions nationales à toutes les autorités de contrôle et aux associations
de la société civile ainsi qu’à d’autres groupements représentant les intérêts des personnes
concernées. Cette possibilité devrait aussi pouvoir être donnée au CEDP. Cependant, il faudra
veiller à ne pas limiter de fait par de lourdes procédures cette nouvelle possibilité. L’AEDH
ne peut que se réjouir par ailleurs que soit envisagée la mise en place de sanctions pénales
pour les violations graves des règles de protection des données. Mais cette notion de gravité
devra être précisée afin d’assurer l’effectivité cette nouvelle disposition.
2.2 Renforcer la dimension « marché intérieur »
De manière générale, l’AEDH pense qu’il est en effet important de renforcer la dimension
« marché intérieur » avec pour moyen une harmonisation plus grande des règles de protection
des données au niveau de l’Union européenne. Mais ceci doit se faire dans l’esprit et la lettre
de la directive, et ne doit pas aboutir à une baisse de la protection des données personnelles
dans aucun des Etats membres. Si harmonisation il y a, elle doit donc se faire par le haut. Les
citoyens et résidents européens attendent de l’Europe un plus haut niveau de protection et de
respect de leurs droits.
La libre circulation des données est en effet importante pour le bon fonctionnement du marché
intérieur, néanmoins cela ne peut se faire au détriment d’un haut niveau de protection des
données personnelles.
11
2.2.2. Réduire la charge administrative
La garantie des droits et le haut niveau de protection des données personnelles doit être
l’objectif prioritaire. L’harmonisation des règles de protection constituera en soi une baisse
des charges administratives. L’idée d’y ajouter une simplification des procédures n’est pas à
rejeter, mais cela ne peut avoir pour effet de limiter ni le contrôle par les citoyens des
traitements de données qui sont déployées, ni le rôle primordial d’intervention des autorités
nationales de contrôle, mais au contraire de faciliter leurs tâches et d’alléger leurs charges de
contrôle sur place. Il est à craindre en effet que moins il y a de notification des traitements à
l’autorité de contrôle et plus leur tâche de contrôle sur place sera lourde.
A cet effet, une telle initiative ne pourrait être mise en œuvre qu’après une étude
d’impact et si celle-ci démontre que les nouveaux processus de mise en œuvre des
principes et de leur contrôle n’abaissent en rien le niveau de protection.
2.2.3. Clarifier les règles relatives au droit applicable et à l’Etat membre responsable
S’il est opportun de revoir et clarifier les règles relatives au droit applicable et à l’Etat
membre responsable et d’augmenter la sécurité juridique et donc la fonctionnalité du marché
intérieur, l’AEDH ne peut qu’appuyer la position de la Commission quant au fait que même si
le responsable du traitement est basé dans un pays tiers, les intéressés doivent pouvoir
bénéficier de la protection et des droits accordés par la Charte des droits fondamentaux et par
la législation européenne. On saisit dés lors toute la pertinence d’une application rigoureuse et
harmonisée de la directive dans les divers Etats membres. On saisit tout autant la nécessité
pour l’Union d’œuvrer pour des règles communes applicables au niveau international, en
particulier en référence à la Convention 108 du Conseil de l’Europe.
2.2.4. Responsabiliser davantage les responsables du traitement
L’AEDH est heureuse de souligner que la Commission insiste sur le fait que la simplification
administrative ne doit pas mener à une réduction générale du niveau de responsabilité
des responsables du traitement des données.
Peut-être faudrait-il penser, afin de responsabiliser effectivement les responsables du
traitement, à mettre en place l’obligation de rendre des comptes déjà implicite dans la
Directive 95/46/CE. En ce sens, envisager des sanctions pour non-respect de cette obligation
ou pour non-respect de la protection des données serait une très bonne chose qui assurerait
sans doute un impact plus fort. Mais sans harmoniser les infractions ne risque-t-on pas de
créer à nouveau des incohérences et des distorsions préjudiciables à l’application homogène
de la protection ?
Concernant l’obligation d’analyse d’impact au regard de la protection des données que la
Commission se propose d’envisager d’introduire explicitement dans le cadre juridique dans
les cas à « risques », l’AEDH soutient l’initiative tout en soulignant que cette approche « à la
canadienne» correspond en fait à celle visée par les articles 19 et 20 de la Directive de 1995.
Cependant, l’AEDH s’interroge sur le glissement « libéral » potentiel de cette nouvelle
approche qui, si elle oblige explicitement les responsables de traitements à effectuer
l’évaluation, n’impose pas dans le même temps, en l’état des orientations de la Commission,
le contrôle de cette évaluation par les autorités de contrôle indépendantes, ni la
consultation des représentants des personnes concernées. Un industriel, une entreprise
12
commerciale, une administration, peuvent- ils être, justement dans les cas dits « à risque », à
la fois juge et partie ? Par ailleurs l’AEDH souligne le manque d’harmonisation préjudiciable
à la protection équivalente au sein de l’UE, des cas « à risques » visés. Elle demande que des
précisions soient apportées dans la proposition, sur les critères de risques visés. Ils devraient
inclure tous ceux actuellement prévus dans les législations nationales en application de
l’article 20 de la Directive, complétés si nécessaire, des cas reposant sur les nouvelles
technologies à risques (RFID, biométrie, vidéo surveillance, collecte automatique de données
dans le domaine du transport (carte de transport) ou au domicile des personnes, tel que dans le
cadre des Smart Grid (compteurs d’électricité dits intelligents) et ceux visant des populations
vulnérables).
L’AEDH encourage également la Commission à, comme elle s’y engage, prendre davantage
en compte la notion de « privacy by design » (également implicite dans la Directive de 95) et
à inciter les producteurs de produits à faire de même.
2.2.5. Encourager les initiatives en matière d’autoréglementation et examiner la possibilité
d’instaurer des régimes européens de certification
En matière d’autoréglementation, la possibilité d’établir des codes de conduite existe déjà.
Malheureusement, cette possibilité n’est que très peu exploitée.
L’AEDH suggère à la Commission de mettre cette possibilité qu’offre la Directive 95/46/CE
davantage en avant dans la nouvelle directive, afin qu’elle soit exploitée au mieux tout en
maintenant leur contrôle par les autorités indépendantes tant pour les codes européens (G29)
et en promouvant pour leur élaboration, l’implication des représentants des personnes
concernées (associations de consommateurs, associations sur les droits civiques).
En ce qui concerne la labellisation des processus, technologies, produits et services
conformes aux normes de protection de la vie privée – déjà en place dans certains Etats
membres comme en Allemagne5, en France6 ou en Suisse – et souhaitée par l’AEDH lors des
premières consultations, il faut définir clairement ce que seraient les régimes européens de
certifications et donc les labellisations : les certificateurs/labélisateurs pour leur agréments, et
les référentiels présidant selon les domaines (types de dispositifs, produits, services) à l’ octroi
d’un certificat devraient être soumis à l’accord des autorités de contrôles (ou du G29 en vue
de leur portée européenne). La possibilité d’obtenir un certificat quant à elle devrait être
ouverte aux opérateurs diffusant leurs produits et services sur le territoire de l’Union.
Par ailleurs l’AEDH estime que la réflexion devrait se porter sur les domaines dans lesquels
l’obtention d’un certificat devrait être rendue obligatoire, en particulier pour tous les
produits et services offert au grand public, ceux destinés aux populations vulnérables et ceux
relevant du « cloud computing ». Dès lors l’AEDH estime qu’au-delà de la définition des
procédures, un plan d’action fixant priorité et calendrier par domaine est indispensable.
2.3. Réviser les règles de protection des données dans les domaines de la coopération
policière et judiciaire en matière pénale
L’AEDH ne peut que soutenir l’idée de « durcir la position de l’UE en matière de protection
des données à caractère personnel dans le cadre de toutes les politiques européennes, y
5
6
En œuvre dans le Schleswig Holstein
Seulement prévu dans la loi française mais toujours pas de mesure d’application
13
compris dans les domaines répressifs et de la prévention de la criminalité »7. Elle partage
l’idée qu’avec le Traité de Lisbonne la décision-cadre 2008/977/JAI est désormais
obsolète.et qu’en conséquence, il est nécessaire d’introduire le domaine de la coopération
policière et judiciaire en matière pénale dans la législation générale relative à la protection des
données à caractère personnel .Ceci doit permettre qu’aucune dérivation de finalité et de
proportionnalité ne soit possible.
Les limitations sectorielles qui pourraient être apportées pour des questions de procédures et
d’enquêtes ne pourraient être que très limitées dans le temps et en aucun cas ne pouvant
déroger aux principes des droits fondamentaux élaborés dans la Charte.
Citons par exemple les effets pervers de mesures sectorielles telles que la Directive
2005/60/CE pour la lutte contre le blanchiment d’argent et le financement du terrorisme
qui a permis aux banques de demander à des particuliers des détails de leur vie privée et leur
patrimoine, mesures très intrusives que nous pouvons considérer comme disproportionnées
par rapport au but à atteindre et dont on ignore les exploitations commerciales qui peuvent en
résulter. Ce qui constitue ainsi un détournement de finalité des données personnelles.
Il ne pourrait être fait qu’exceptionnellement état de nécessité lié à la lutte contre le
terrorisme et la grande criminalité. Les notions de terrorisme et de grande criminalité
devant elles-mêmes être redéfinies dans le droit de l’Union de façon plus précises et plus
étroite, afin d’éviter toute dérive. La mise en place de fichiers de données et leur traitement
ne pouvant en tout état de cause que concerner la recherche de faits avérés et des personnes
clairement identifiées et non pas servir de fait à la mise en place de système de profilage qui
doivent être en eux-mêmes bannis.
L’AEDH, comme il a été dit plus haut, est très réservée quand à l’utilisation et à la
multiplication de fichiers de données génétiques, qui posent tout à la fois des questions
d’atteinte à la vie privée et à l’intégrité humaine que d’éthique. Elle s’est en tout état de cause
prononcée contre la constitution de fichiers ADN et de ce fait contre leur interopérabilité dans
le cadre du traité de Prum. De nombreuses plaintes ont été déposés à cet égard ce qui s’est
traduit par des condamnations pour abus par la Cour de Luxembourg.
Ici aussi l’utilisation de données génétiques ne devrait être possible que dans les cas de faits
avérés et sous contrôle judiciaire. Une législation européenne restrictive allant dans ce sens
semble aujourd’hui nécessaire pour pallier aux dérives qui sont constatées aujourd’hui.
2.4. La dimension mondiale de la protection des données
2.4.1. Clarifier et simplifier les règles applicables aux transferts internationaux de données
L’AEDH soutient l’analyse de la Commission sur les incohérences et divergences
préjudiciables aux personnes concernées et sur ses orientations visant à y remédier, ses
incohérences et divergences résultant :
- D’imprécisions concernant les critères actuellement en vigueur de jugement du niveau
de protection assuré dans un pays tiers à la disposition de la Commission et des Etats
membres,
- de l’absence de procédure harmonisée au niveau des Etats membres,
- du manque de transparence de toutes ces procédures.
7
Voir Plan d’action mettant en œuvre le programme de Stockholm
14
L’AEDH soutient également l’analyse concernant l’intérêt d’inclure dans les mécanismes
subsidiaires au principe du niveau de protection adéquat assuré dans un pays tiers, en plus de
celui des clauses type déjà prévu mais élargi aux cas des transferts entre administration, celui
des règles internes aux entreprises multinationales contraignantes et des mesures envisagées
pour améliorer la situation.
Par contre, l’AEDH estime nécessaire que la portée des autres exceptions au principe du
niveau de protection assuré dans un pays tiers qui laisse en pratique les personnes
concernées sans aucune protection, doit à l’avenir faire explicitement l’objet de
restrictions comme c’est déjà le cas dans certains Etats membres. Le champ d’application de
ces dérogations, sur la base du consentement de la personne ou des autres fondements déjà
prévus, devrait être restreint à des transferts ponctuels, non massif, ni récurrents.
Par ailleurs, l’AEDH, comme elle l’a indiqué largement plus haut, est très gênée que la
Commission envisage de définir les éléments essentiels en matière de protection des données
que devraient comporter tous les types d’accords internationaux conclus par l’UE sans faire
aucune référence à la Convention 108 du Conseil de l’Europe (et le cas échéant à ses
développements pertinents dans les domaines visés par de tels accords), à laquelle tous les
EM sont tenus puisqu’ils en sont signataires.
2.4.2. Promouvoir des principes universels
L’AEDH réitère son étonnement devant l’absence d’une quelconque référence explicite à la
Convention n°108 du Conseil de l’Europe et son intention d’amplifier son soutien à la
politique de promotion de la convention au-delà du cadre de l’élargissement mais aussi plus
largement sur le plan mondial notamment en direction des pays émergents ou en
développement auxquels elle apporte des financements en matière de projets TICs et/ou vers
lesquels des Etats membres transfèrent des données dans le cadre de sous-traitances de
manière parfois massive.
Cet instrument à vocation universelle est le seul texte contraignant en matière de protection
des données à caractère personnel au niveau mondial, en l’absence d’initiative de l’ONU pour
rendre contraignant les principes directeurs que l’Assemblée Générale a adopté à l’unanimité
en 1990. La Commission ne la cite pas, pas même lorsqu’elle parle de cohérence entre le futur
cadre juridique de l’Union et les normes techniques internationales élaborées par les
organismes de normalisation.
En ce qui concerne la réciprocité de la protection dans les actions extérieures de l’UE,
notamment lorsque des données sont transférées à des pays tiers en vertu d’accords
internationaux conclus entre l’UE et ceux-ci, l’AEDH trouve totalement anormal que l’UE
puisse par exemple envoyer des données aux Etats-Unis sur ses propres ressortissants sans
que ceux-ci ne bénéficient d’une protection d’effet équivalent, alors que les ressortissants
américains bénéficient en Europe de la même protection que les ressortissants européens.
De plus, la législation européenne protège les ressortissants des pays tiers lorsque par
exemple, des entreprises basées sur le territoire de l’UE traitent leurs données alors que ce
n’est pas le cas lorsque la situation est inversée.
Aussi bien, s’agissant particulièrement des USA, profitant des initiatives qui y ont été rendues
publiques pour consultation en décembre 2010 (Département du Commerce et FTC), l’AEDH
attend de la Commission qu’elle les encourage , comme indiqué plus haut et qu’elle inscrive
15
enfin dans un texte législatif de porté horizontale, les principes fondamentaux de la
protection des données au bénéfice des personnes quelque soit leur nationalité ou leur
lieu de résidence et à mettre en œuvre le principe de l’ autorité de contrôle indépendante.
En outre, l’AEDH observe que le fait de vouloir renforcer la coopération de l’UE avec des
organisations internationales telles l’OCDE, le Conseil de l’Europe, les Nations Unies et
d’autres organisations régionales se situe dans la poursuite connue de la politique actuelle de
la Commission. Mais en ce qui concerne les autres organisations régionales, l’AEDH observe,
sauf omission de sa part, qu’aucun bilan des résultats auxquels ces coopérations ont conduit
n’est disponible.
Enfin, l’AEDH note la volonté de la Commission de s’impliquer et suivre de près
l’élaboration des normes techniques par les organismes de normalisation. L’AEDH
souhaiterait cependant que la Commission inclue également des organismes tels que l’IUT et
l’IETF comme organismes réellement techniques mais également l’OACI, le BIT et même
l’OMS dans les domaines sectoriels.
En définitive, il est suggéré à la Commission d’élaborer un réel plan d’action afin de
contribuer de manière décisive à la promotion des principes sur le plan mondial.
2.5. Renforcer le cadre institutionnel en vue d’un plus grand respect des règles de
protection des données
L’AEDH accueille avec satisfaction la volonté d’accorder aux DPA un rôle plus important
dans le contrôle de l’application des règles européennes et de se référer à la jurisprudence de
la Cour de Justice de l’Union européenne en ce qui concerne leur indépendance8.
Elle ne peut qu’aller dans le sens proposé :
-
-
de renforcer, clarifier et harmoniser le statut et les pouvoirs des autorités
nationales de protection des données dans le nouveau cadre juridique, y compris la
pleine mise en œuvre de la notion d’«indépendance complète» ;
d'améliorer la coopération et la coordination entre les autorités de protection des
données ;
de garantir une application plus cohérente des règles de l’UE en matière de
protection des données dans tout le marché intérieur, notamment en renforçant le rôle
des contrôleurs nationaux de la protection des données, en coordonnant mieux leur
action par l’intermédiaire du groupe de travail «article 29» (qui devrait devenir un
organe plus transparent).
Au-delà, et en tout état de cause, il conviendra particulièrement de renforcer les pouvoirs
d’action et d’intervention du CEPD, ou évaluer la possibilité de créer une véritable autorité
indépendante européenne, agissant en coordination avec les DPA et le groupe de travail
« article 29 ».
Bien entendu la mise en place d’un véritable système cohérent et homogène de contrôle des
données personnelles tant au niveau des Etats membres qu’au niveau de l’Union implique
l’attribution de moyens propres significatifs, tant pour l’autorité indépendante européenne
que pour assurer le fonctionnement du groupe de travail article 29 rénové.
8
Arrêt du 9 mars 2010 dans l’affaire C-518/07, Commission c/ Allemagne