1 AEDH – Association pour la Défense des droits de l`Homme Rue
Transcription
1 AEDH – Association pour la Défense des droits de l`Homme Rue
1 AEDH – Association pour la Défense des droits de l’Homme Rue de la Caserne, 33 1000 Bruxelles Numéro de registre : 0648187635-62 Consultation sur l’approche globale de la protection des données à caractère personnel dans l’Union européenne de la Commission européenne – 15 janvier 2011 L’AEDH a analysé en détail la Communication de la Commission relative à « une approche globale de la protection des données à caractère personnel dans l’Union européenne »1, et souhaite tout d’abord présenter des remarques générales majeures avant de faire des observations en suivant le plan général de la communication. L’organisation d’une consultation par la Commission européenne relative à la modification de la Directive de 1995 sur la protection des données personnelles2 est à saluer positivement bien qu’après une première consultation en 2009, puis un questionnaire très détaillé en 2010, l’AEDH estime que processus mériterait d’être accéléré. Il convient en effet de considérer la vitesse avec laquelle les traitements de données personnelles explosent dans tous les domaines de la vie quotidienne, sociale, administrative et politique alors qu’on assiste à un renouvellement important des « nouvelles technologies » qui est à l’origine même de l’initiative prise par la Commission il y déjà deux ans déjà d’annoncer la révision de la directive. En tout état de cause, aux vues de l’ampleur tout à fait pertinente du programme annoncé dans la communication, mais encore trop exprimé en termes d’action futures : « la commission étudiera », « la commission présentera parallèlement une initiative sur », etc, l’AEDH ne peut que demander à la Commission de prendre une décision politique claire et 1 COM(2010) 609 final, 4 novembre 2010 Directive 95/46/CE du Parlement européen et du Conseil du 24 mars 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 2 2 d’en faire part publiquement. Il faudra pour cela nettement renforcer les moyens humains sur ce dossier de manière à ce que le processus parvienne rapidement à son terme. Il en va de la crédibilité de l’Union vis-à-vis de ses responsabilités y compris sur le plan mondial. Compte tenu de ses réponses aux précédentes consultations sur le sujet3, l’AEDH ne peut en effet que féliciter la Commission pour avoir élaboré la stratégie de développement d’une politique globale qu’elle préconisait visant : - l’extension de base du champ d’application de la directive en vue de l’application horizontale des principes fondamentaux à tous les secteurs d’activité, y compris au secteur de la sécurité (ex 3ème pilier). C’est en effet la seule approche de nature à garantir une véritable protection des personnes à l’égard de leurs données personnelles, les risques étant à la base les mêmes et, de plus, des données peuvent être amenées pour des finalités légitimes – y compris sur la base des critères démocratiques dérogatoires – à être transmises d’un secteur à un autre. L’approche proposée par la Commission, au-delà de l’abrogation ainsi réalisée de la décisioncadre4 qui prévoit la révision progressive de certains textes plus sectoriels hérités de l’histoire de la construction européenne (Schengen, Europol etc.), est raisonnable. Cependant le calendrier prévisionnel de ces révisions devrait être explicite ; - une plus grande harmonisation, rendue possible par l’expérience acquise depuis l’adoption de la première directive de 1995, et conduisant notamment au renforcement et à de plus amples précisions sur certains principes de base, sur les droits des personnes y compris en matière d’action collective, et sur les pouvoirs des autorités indépendantes ; - le développement de nouvelles procédures de mise en œuvre allant jusqu’à des procédures de certification/labellisation, tant des dispositifs technologiques que des services pour répondre au besoin de sécurité des personnes concernées dans leur vie quotidienne ; - une politique de sanctions, y compris explicitement sur le plan pénal ; - un renforcement des missions (contrôles coordonnés) et de la portée des travaux interprétatifs du groupe des autorités nationales chargées de la protection des données (G29), leur indépendance étant mieux garantie, et qui intègrerait d’emblée les pouvoirs des diverses autorités de contrôles communes des systèmes Schengen, Europol etc. ; - les clarifications nécessaires en matière de droit national applicable ; la mise en évidence de la responsabilité de l’Union européenne en termes de promotion et de coopération en matière de protection des données. Pour autant, selon les nombreux sujets abordés dans la communication, l’AEDH estime nécessaire de présenter des remarques générales très importantes au regard de l’avenir de la protection des données et de son efficience (I) ainsi que des remarques concernant des détails, 3 L’AEDH a notamment répondu à deux consultations de la Commission européenne sur le sujet : Consultation on the Legal Framework for the Fundamental Right to Protection of Personal Data, 31 Decembre 2009 et Stakeholder Consultation Meeting on the Review of the Data Protection regulatory Framework, 01 Juillet 2010 4 Décision-cadre 2008/977/JAI 3 qu’elles soient positives ou négatives, essentiellement à propos de certaines approches conceptuelles (II). I) Remarques générales Tout d’abord, l’AEDH pense que l’harmonisation envisagée ne va pas assez loin, seule approche pourtant capable de garantir l’équivalence et le haut niveau de protection au sein de l’Union européenne et la sécurité juridique des acteurs du point de vue du marché intérieur, réduisant d’autant d’ailleurs par là l’impact des questions de droit national applicable. Par exemple, la Communication, à ce stade, n’envisage pas d’établir la liste des circonstances dans lesquels les traitements de données présentent des risques particuliers et doivent de ce fait faire impérativement l’objet d’un contrôle préalablement à leur mise en œuvre par les autorités de contrôle indépendantes, même si, selon le choix des Etats membres, leur réglementation devrait être approuvée soit par l’autorité indépendante, soit par le parlement (selon l’article 20 de la directive actuelle). La collation des cas prévus dans les législations nationales actuelles, qui développent le considérant correspondant, devrait permettre d’établir cette liste sur le plan européen, en s’assurant qu’en particulier seront inclus les traitements visant des populations vulnérables, la vidéosurveillance et la collecte automatique de données dans le domaine du transport (carte de transport) ou au domicile des personnes, tel que dans le cadre des Smart Grid (compteurs d’électricité dits intelligents) et les traitement biométriques de contrôle d’identité. La proposition devrait aussi fixer un minimum de procédure dans ces circonstances : la consultation obligatoire des personnes concernées ou de leurs représentants, en particulier les associations de consommateurs et les associations de défense des droits de l’homme ainsi que la publication de la position adoptée par l’autorité de contrôle. On remarque aussi l’absence également d’un projet d’harmonisation des délits (alors que cela a été fait en matière dite de cybercriminalité !). Ensuite, l’AEDH relève que le flou de certains énoncés de la communication pourrait laisser penser que la politique envisagée dérive vers une libéralisation excessive, voire une « privatisation », et ce à deux niveaux : - Au niveau des individus, vis-à-vis desquels l’information donnée au moment de la collecte de données sur les traitements auxquels elles sont destinées leur permettrait de faire « un choix » (en application du principe de transparence). Est ce l’approche américaine de la concurrence entre les entreprises y compris sur le terrain de la protection des données qui est envisagée ici ? Ce qui serait contraire à l’approche retenue jusqu’à présent en Europe où la protection doit être assurée par tous et ne pas constituer un élément de concurrence. Et cela bien que dans certains domaines allant au-delà de la prestation demandée, notamment en matière de profilage à des fins de prospection commerciale, le recueil du consentement de la personne soit une obligation. Cette dernière approche peut être perçue comme un choix à faire, mais elle n’a pas du tout le même sens que dans le contexte américain actuel où en l’absence de ce consentement pour une finalité autre, la délivrance de la prestation demandée pourrait être refusée par l’entreprise ! La notion de consentement ne doit dés lors pas être opposable à la délivrance d’une prestation ou à la vente d’un bien ou service. - Au niveau du contrôle de l’application des principes de la protection d’un droit pourtant fondamental : à aucun moment il n’est précisé que les analyses d’impact au 4 regard de la protection des données, qu’il est prévu à juste titre de développer, que les codes de conduites professionnels dont il est prévu de stimuler l’élaboration et les référentiels présidant aux processus de certification présentés comme relevant de l’autorégulation, seront soumis pour approbation aux autorités indépendantes de contrôle (ou à leur structure de coordination européenne), seule approche pourtant de nature là encore à garantir la sécurité des personnes concernées et la libre circulation au sein du marché intérieur. Il n’est pas prévu non plus qu’en l’absence notamment de telles initiatives « privées » dites « d’autorégulation », sur lesquelles la Commission insiste beaucoup, les autorités indépendantes disposeront d’un pouvoir de recommandations, voire réglementaire pour y pallier, notamment en cas d’usage de nouvelles technologies. Dans d’autres domaines l’AEDH estime que la Commission fait fausse route : c’est le cas de l’approche largement commentée sur l’information des personnes (qu’au demeurant la Commission à juste titre propose d’étendre à des items jusqu’ici facultatifs, y compris en matière de durée de conservation des données). Pourquoi la Commission s’étend longuement sur la modalité d’information, à l’américaine, des « déclarations de confidentialités » longues, non compréhensibles, qu’il faut rechercher, etc., domaine dans lequel visiblement certaines autorités de régulation américaines n’ont pas encore fait le travail de conseil ou de recommandations nécessaires. En effet, l’observation des pratiques et recommandations faites dans ce domaine dans certains Etats membres de l’UE par les autorités de contrôle, montrent que ces questions ont été résolues avec élégance et efficacité directement sur les formulaires de collecte des données y compris en ligne à l’aide de techniques normalisées, simples et claires, par exemple pour l’indication claire de la finalité et de l’adresse du responsable de traitement, d’astérisques associées aux données obligatoires, de cases (non cochées bien sur par défaut) en ce qui concerne les finalités autres, visant notamment les prospections commerciales ultérieures en particulier au bénéfice de tiers, et selon des formulations simples et standards, offrant ainsi aux personnes un moyen simple de donner leur consentement, si elles le souhaitent (sans pour autant perdre le bénéfice de la prestation demandée en application des dispositions actuelles) . La matière des cookies aurait du être régulée de la même manière, et devrait en effet l’être maintenant en commandant l’étude aux autorités de contrôle, indiquant les modifications qui seraient nécessaires dans le contenu des informations relatives à un cookie défini par l’IETF, leur exploitation par les navigateurs en fonction de leurs finalités (liste à établir), et de recommandations en matière de durée selon les différents services qu’ils rendent (finalités). Est-il normal en effet, en application de la directive actuelle et des principes qu’elle pose en matière de proportionnalité et de durée de conservation, que des sites internet de première importance de par leur trafic établis dans des Etat membres envoient pour la consultation d’une seule page jusqu’à 8 cookies dont certains ont une durée de 20 ans à des fins de suivi comportemental ? Dans le domaine de la coopération internationale, que la Commission indique vouloir poursuivre à juste titre au regard de la mondialisation des traitements et du faible développement du droit à la protection des données, l’AEDH demande à la Commission de bien vouloir apporter les précisions suivantes : quelle est la liste des partenariats avec des pays tiers ou des organisations régionales qui ont été passés dans lesquels la préoccupation de la protection des données a été actée, accompagnée d’une indication sur les moyens européens 5 mobilisés à cette fin et avec quels résultats jusqu’à présent dans chaque cas? Quels sont les nouveaux partenariats de cette nature en cours de négociation ou envisagés ? Enfin l’AEDH souhaite faire état de son profond étonnement devant l’absence totale de référence à la seule convention internationale, d’ailleurs ouverte aux pays tiers, dont pourtant la Directive de 1995 constitue explicitement un développement, la Convention 108 du Conseil de l’Europe et son protocole additionnel sur les autorités indépendantes et les transferts de données vers les pays tiers. Or il est bien clair que pour le moment, alors qu’on cherche à raffermir et à promouvoir le droit à la protection des données personnelles sur le plan mondial, cette référence est indispensable, l’ONU n’ayant pas pris d’initiative malgré les appels lancés depuis des années pour rendre contraignant les principes directeurs qu’elle a adoptés en 1990 dans ce domaine et de les réviser à la lumière des standards élaborés par la conférence internationale des commissaires à la protection des données à Madrid en 2009. Par ailleurs, la Cour des droits de l’homme de Strasbourg constitue une garantie supranationale essentielle pour tous les citoyens et résidents des 47 pays européens membres du Conseil de l’Europe comme elle l’a encore prouvé en 2008 avec sa décision rendue contre un des Etat membres de l’Union européenne qui conservaient des données génétiques et biométriques de personnes mises hors de cause dans ses fichiers de police ! L’Union européenne qui adhère à la Convention de sauvegarde des droits de l’Homme du Conseil de l’Europe, ne devrait elle pas dans le même temps prévoir d’adhérer également à la Convention 108 qui est d’ailleurs dans un processus également de révision ? Cette révision, dont il est prévu qu’elle intègre un mécanisme de contrôle de la conformité de la législation des adhérents, devrait ainsi avoir l’avantage tout à la fois de faciliter la procédure dite de reconnaissance de l’adéquation de la protection des pays tiers et surtout de permettre que ces pays tiers , notamment avec leurs autorités indépendantes de contrôle, participent activement aux travaux de son comité de suivi destiné à contribuer à sa meilleure application (recommandations sectorielles etc.). II) Remarques particulières Les remarques positives et suggestions associées de l’AEDH - Selon la Communication de la Commission, tous les principes de la Directive de 1995 sont encore pertinents. Oui, ils le sont parfaitement puisqu’ils répondent aux risques liés à la numérisation ! De plus, ils sont cohérents avec les principes contenus dans les instruments non contraignants internationaux, surtout avec ceux de l’ONU, un peu moins avec les lignes directrices de l’OCDE qui ne prévoient pas de dispositions particulières sur les données sensibles. Pour autant, compte tenu de la conjoncture créée par les initiatives américaines, notamment le livre vert sur les données commerciales du 15 décembre 2010 du Département du Commerce américain, on ne peut que souhaiter que l’Union européenne encourage publiquement les USA à rendre contraignant les principes de base contenus dans ces instruments, dont ils ont été les concepteurs dans les années 70. D’autant que le Département du Commerce inclut la question des données sensibles (en partie seulement cependant) et les encourage également publiquement à les étendre de manière explicite à tous les secteurs d’activités et vis-à-vis de toute personne quelque soit sa nationalité et son lieu de résidence. 6 - En ce qui concerne la définition des données à caractère personnel, oui celle-ci doit être large et souple, et bien sur être interprétée du point de vue des personnes concernées, étant donné l’objectif de la directive qui est de préserver un droit fondamental alors que dans ce domaine, ce sont dans les zones d’ombre que se logent les risques de dérapage. Par exemple les interprétations jurisprudentielles inacceptables qui ne confèrent pas à une adresse IP le caractère de donnée à caractère personnel. - L’extension à tout secteur de l’obligation de notification aux personnes concernées de toute perte, destruction, altération, transmission illégales ou accidentelles de leurs données. - Le renforcement du principe de minimisation des données collectées/traitées. - L’amélioration des conditions d’exercice du droit d’accès, de rectification et d’effacement (délais et portabilité), la clarification sur « le droit à l’oubli ». - L’obligation envisagée pour les Etats membres de prévoir des programmes et des moyens pour la sensibilisation sur le droit à la protection des données. - La clarification sur le consentement - Inclure explicitement dans les données sensibles les données génétiques. Néanmoins, il faut également penser à y inclure les empreintes digitales. - Les clarifications nécessaires en matière de critère du droit national applicable de manière à assurer le même niveau de protection à tous les résidents de l’UE quelque soit le lieu d’établissement du responsable de traitement (dans ou hors de l’UE). - Le projet de rendre obligatoire la désignation d’un détaché à la protection des données en harmonisant ses missions et compétences. Mais il convient de ne pas oublier ses conditions d’indépendance, et les limites de ses compétences en matière de traitements à risques devant être soumis pour contrôle à l’autorité de contrôle, seul garant au jour le jour en la matière (sous le contrôle du juge). - En matière internationale o des transferts des données vers des pays tiers et de coopération : les critères du niveau adéquat de protection doivent être précisés y compris en matière de coopération à des fins répressive, mais aussi doit être prévue une procédure d’instruction et de décision complètement transparente, ce qui n’a pas été le cas jusqu’à présent. o Suivre de près l’élaboration des normes techniques tels qu’élaborées au sein du Cen et d’ISO. Il convient cependant de ne pas oublier pour internet l’IEFT et le consortium 3W pour le web, et l’IUT, voir d’autres organisations internationales de compétence sectorielle telles que l’OACI, le BIT ou l’OMS. - Le renforcement des pouvoirs des autorités et de leurs moyens : à cet égard il conviendrait certainement de faire des évaluations quantitatives des moyens nécessaires pour qu’elles assurent de manière dynamique et effective l’ensemble de leurs missions, y compris par rapport à leur indispensable renforcement. Les remarques négatives, notamment sur certaines approches conceptuelles - - Pourquoi la Commission fait-elle référence aux seuls consommateurs et à leurs associations, et non pas aux citoyens dans leurs différents rôles ainsi qu’à leurs différents aspects associatifs en référence en particulier à l’article 11 du traité UE ? Pourquoi la Commission met-elle autant en avant le caractère technologiquement neutre des principes de la protection, alors qu’au contraire, s’ils sont adaptés d’une manière générales aux risques de base présentés par la numérisation, ils sont 7 - - graduellement renforcés en fonction du degré d’intrusion que les technologies présentent ou en fonction de la nature des informations, notamment par rapport aux données dites « sensibles » (par exemple les données génétiques, les technologies biométriques, les données de localisation générées par les technologies aux normes GSM déjà soumises pour leur transmission à un service par la directive E privacy dès 1997 au consentement préalable de la personne concernée, sollicitations commerciales plus intrusives si effectuées à l’aide de moyens électroniques (consentement) que par la poste (droit d’opposition), etc.…) ? Pourquoi la Commission relaie-t-elle autant l’appréciation négative portée par les opérateurs économiques sur la faible utilité des dispositifs de notification préalable à leur mise en œuvre des traitements de données à caractère personnel alors que qu’elle contient, selon les dispositions de la directive, toutes les informations de base nécessaire à toute évaluation de l’application des principes de la protection , au « Privacy by design » avant décision de création par le responsable de traitement, et par les autorités de contrôle ? Pourquoi la Commission estime-t-elle qu’il est difficile de localiser des équipements utilisés pour des traitements de données selon les offres du Cloud computing ? L’opérateur sait parfaitement où sont localisés ses serveurs, les adresses IP correspondent de manière publique aux pays où elles ont été attribuées, et des décisions peuvent être parfaitement prises. Il y a déjà eu de la part d’Etats, y compris les USA, l’interdiction que des serveurs du « cloud » utilisés soient localisés notamment dans le pays d’origine des données ! Si l’AEDH est satisfaite de l’effort de la Commission pour adopter une approche globale, l’AEDH rappelle qu’il est tout de même primordial d’exprimer des propositions plus ambitieuses, moins peureuses, et qu’il n’est pas seulement bien de les exprimer, qu’il faut ensuite s’assurer que toutes ces idées et propositions de modifications portent leurs fruits et que leur application soit effective. De plus, l’AEDH souligne l’importance et la nécessité d’apporter de nombreuses précisions – car l’effectivité du droit implique très souvent de préciser ce qui est visé. Ces remarques générales étant faites, l’AEDH reprend ici certains points de la Communication de la Commission en détails. 2.1 Renforcer les droits des personnes L’AEDH, considère cette dimension comme primordiale. Elle doit viser au renforcement des droits des citoyens européens et à plus de transparence. A cette fin, les personnes pour qui les données sont collectées doivent impérativement non seulement être informées de façon claire, mais aussi avoir connaissance et comprendre d’une part, en quoi la collecte de ses données pourra l’affecter, et d’autre part qu’elle a des droits sur ces données (accès, rectification, suppression). Toutes les personnes ne sont pas forcément familiarisées avec la complexité des traitements et avec la protection des données. C’est pourquoi est impératif : 8 - - - l’utilisation d’un langage clair et transparent pour que même une personne non familiarisée à ce qu’est le traitement de l’information et ses complexité et la protection des données personnelles puisse comprendre les dangers et les enjeux liés à cela. La possibilité d’un contrôle effectif des personnes sur leurs données, point lié bien sûr au précédent car si les personnes concernées n’ont pas une connaissance des enjeux liés à la protection des données personnelles, ils ne pourront ni ne chercheront pas à exercer leurs droits. Cette possibilité d’un contrôle effectif est partie de l’article 8 de la Charte des droits fondamentaux. Une grande campagne de sensibilisation, pour permettre un exercice de ses droits, notamment pour les personnes les plus sensibles et les plus exposés aux risques (par exemple les enfants, adolescents, les personnes démunies,…). 2.1.2. Accroître la transparence pour les personnes concernées S’il est nécessaire d’introduire, dans le cadre juridique actuel, un principe général de transparence pour le traitement des données personnelles, ce principe ne doit pas resté, comme beaucoup d’autres principes, simplement énoncé mais qu’il doit aussi être appliqué et ce de manière efficace et effective. Soumettre les responsables des traitements à des obligations spécifiques quant au type d’informations à communiquer et aux modalités de leur communication est une bonne idée en soit, encore faut-il les définir clairement. Il serait également judicieux d’établir un modèle européen auquel les responsables de traitement devraient se plier pour en informer les personnes concernées. Le fait de n’avoir qu’un seul modèle européen couvrant par domaine tous les types de collecte de données permettrait aux citoyens d’être plus aptes à comprendre les enjeux et buts de ces collectes, cela faciliterait également la compréhension et l’exercice de leurs droits. 2.1.3. Permettre aux intéressés d’exercer un meilleur contrôle sur les données les concernant L’AEDH soutient la Commission quand elle annonce vouloir renforcer le principe de minimisation des données (ce qui signifie de ne pas avoir la possibilité d’utiliser les données à d’autres fins que celles prévues dans le texte législatif de base). L’AEDH aimerait voir ce principe appliqué à tous les cas et notamment lorsque cela touche le domaine de la justice et de la sécurité. L’AEDH pense en particulier à la question par exemple de l’ouverture de la base EURODAC à l’agence Europol. Il ne serait pas normal que le contenu d’une telle base de données, comprenant des données très personnelles et sensibles, puisse être transféré à une agence sécuritaire telle Europol, agence n’ayant pas les mêmes fins et buts que la base de données. Cela serait contraire au principe de minimisation des données. L’AEDH salue l’effort de la Commission par rapport à sa volonté d’améliorer les modalités d’un véritable exercice des droits d’accès, de rectification et de suppression. Nous pensons que l’accès des citoyens à leurs données et les droits des citoyens dans ce domaine est un point primordial de cette réforme. Il est également important non seulement de clarifier mais surtout de renforcer le « droit à l’oubli » et d’assurer que tout a chacun peut, quand il le souhaite légitimement, retirer des données d’une application ou d’un service. La législation nous semble sur ce point à la fois peu appliquée et très peu connue des citoyens. 9 2.1.4. Sensibiliser L’AEDH salue la volonté de la Commission de vouloir cofinancer des actions de sensibilisation à la protection des données ainsi que le fait de vouloir rendre obligatoire le fait de mener des actions de sensibilisation. L’AEDH appuierait fortement, comme indiqué plus haut, une proposition faisant de la sensibilisation une obligation incombant à la fois à la Commission et aux Etats membres. L’AEDH pense qu’il faudrait également mener des campagnes visant à expliquer aux citoyens comment faire respecter leurs droits. Autrement dit quels sont pour eux les voies de recours possibles pour faire respecter leurs droits. Ces actions de sensibilisation obligatoires pourraient être menées dans le cursus scolaire par exemple, les jeunes étant confrontés très tôt à cette question de protection de leur données personnelles. Des expériences de sensibilisation ont déjà eu lieu en ce sens et pourraient servir d’exemple. C’est le cas du programme européen au quel a participé l’AEDH et piloté par la Ligue française des droits de l’Homme. La réalisation d’une bande dessinée « Sous surveillance » avait pour but d’attirer l’attention des jeunes adultes sur les problématiques et enjeux liés aux nouvelles technologies et à la protection des données à caractère personnel. 2.1.5. Garantir un consentement éclairé et libre Ce point été largement développé par nous plus haut. Effectivement, il est important que la Commission clarifie et renforce les règles liées au consentement qui doit être informé, libre et donné de manière explicite et non implicite. Il est nécessaire d’insister de nouveau sur le fait que le consentement individuel doit être aussi analysé par rapport à la situation dans laquelle se trouve une personne face à la nécessité pour elle d’accéder à un bien ou un service et ceci souvent dans un temps limité et sans surcoût. Cette situation peut amener le fournisseur à être dans une position de force qui rend le consentement libre illusoire. Il en est ainsi des ristournes ou des avantages liés à l’utilisation de cartes de fidélités, voir à l’usage de cartes de transport qui garantissent un tarif de transport préférentiel avec, en contre partie, la nécessité pour le consommateur ou l’usager de donner des données personnelles permettant un profilage commercial. Ainsi, il apparait primordial qu’aucune collecte des données ne puisse être faite contre l’échange d’avantages particuliers consentis par un fournisseur de bien ou de service. Ceci relevant de fait non du consentement, mais d’un marchandage de sa propre identité et non conforme de fait. Si l’on n’y prend pas garde, les TICS rentrant peu à peu dans tous les domaines de la vie, l’existence de tels marchandages conduirait insensiblement peu à peu à la fin de la vie privée et à la fin de l’autonomie des personnes, ce qui serait contraire à l’esprit et à la lettre de la Charte des droits fondamentaux. Le consentement est en fait une des questions centrales et il est nécessaire de s’assurer d’une grande homogénéité d’interprétation et de comportement par les Etats membres, une fois cette question strictement précisée et clarifiée. Une large information sur ce point devant bien entendu être menée auprès de tous les publics. 2.1.6. Protéger les données sensibles La Commission souligne à juste titre l’article 8 de la Directive 95/46/CE qui dispose que « Les États membres interdisent le traitement des données à caractère personnel qui révèlent 10 l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle. » et la nécessité de faire évoluer cette notion notamment aux données génétiques mais aussi plus largement à tout ce qui concerne les données biométriques qui sont en fait la constitution de données à partir de ce qui constitue le corps des personnes. Cependant, certaines limitations sont apportées à ce principe. En particulier au motif de la lutte contre le terrorisme, les Etats membres ou l’Union européenne elle-même, peuvent mettre en place des politiques sécuritaires dans lesquelles ils utilisent de fait des données personnelles sensibles, que ce soit de manière directe ou indirecte. Par exemple, certaines données contenues dans les PNR. Mais aussi la possibilité de traitement de ces données sensibles, sous certaines conditions, par des agences comme Europol. Si même l’utilisation de telles données peuvent être avérées et exceptionnelles, cette utilisation doit être strictement contrôlée et il n’est pas acceptable que ce contrôle puisse l’être uniquement en interne. En ce sens, au niveau européen, le rôle du Contrôleur européen de la protection des données (CEPD) doit être renforcé, tout comme au niveau national celui des autorités indépendantes de contrôle des données personnelles, et leur coordination en matière de contrôle organisée. L’AEDH demande donc à la Commission de s’assurer que la nouvelle approche et la nouvelle directive prennent en compte cette question. 2.1.7. Renforcer l’efficacité des voies de recours Comme le reconnaît la Commission, il est primordial de disposer d’une réglementation efficace en matière de voies de recours et de sanctions. Cependant, mais là aussi sans renforcement des dispositions de mise en œuvre et de sensibilisation, les voies de recours effectives risquent d’être limitées de fait. L’AEDH salue cependant la proposition de la Commission consistant à accorder le pouvoir de saisir les juridictions nationales à toutes les autorités de contrôle et aux associations de la société civile ainsi qu’à d’autres groupements représentant les intérêts des personnes concernées. Cette possibilité devrait aussi pouvoir être donnée au CEDP. Cependant, il faudra veiller à ne pas limiter de fait par de lourdes procédures cette nouvelle possibilité. L’AEDH ne peut que se réjouir par ailleurs que soit envisagée la mise en place de sanctions pénales pour les violations graves des règles de protection des données. Mais cette notion de gravité devra être précisée afin d’assurer l’effectivité cette nouvelle disposition. 2.2 Renforcer la dimension « marché intérieur » De manière générale, l’AEDH pense qu’il est en effet important de renforcer la dimension « marché intérieur » avec pour moyen une harmonisation plus grande des règles de protection des données au niveau de l’Union européenne. Mais ceci doit se faire dans l’esprit et la lettre de la directive, et ne doit pas aboutir à une baisse de la protection des données personnelles dans aucun des Etats membres. Si harmonisation il y a, elle doit donc se faire par le haut. Les citoyens et résidents européens attendent de l’Europe un plus haut niveau de protection et de respect de leurs droits. La libre circulation des données est en effet importante pour le bon fonctionnement du marché intérieur, néanmoins cela ne peut se faire au détriment d’un haut niveau de protection des données personnelles. 11 2.2.2. Réduire la charge administrative La garantie des droits et le haut niveau de protection des données personnelles doit être l’objectif prioritaire. L’harmonisation des règles de protection constituera en soi une baisse des charges administratives. L’idée d’y ajouter une simplification des procédures n’est pas à rejeter, mais cela ne peut avoir pour effet de limiter ni le contrôle par les citoyens des traitements de données qui sont déployées, ni le rôle primordial d’intervention des autorités nationales de contrôle, mais au contraire de faciliter leurs tâches et d’alléger leurs charges de contrôle sur place. Il est à craindre en effet que moins il y a de notification des traitements à l’autorité de contrôle et plus leur tâche de contrôle sur place sera lourde. A cet effet, une telle initiative ne pourrait être mise en œuvre qu’après une étude d’impact et si celle-ci démontre que les nouveaux processus de mise en œuvre des principes et de leur contrôle n’abaissent en rien le niveau de protection. 2.2.3. Clarifier les règles relatives au droit applicable et à l’Etat membre responsable S’il est opportun de revoir et clarifier les règles relatives au droit applicable et à l’Etat membre responsable et d’augmenter la sécurité juridique et donc la fonctionnalité du marché intérieur, l’AEDH ne peut qu’appuyer la position de la Commission quant au fait que même si le responsable du traitement est basé dans un pays tiers, les intéressés doivent pouvoir bénéficier de la protection et des droits accordés par la Charte des droits fondamentaux et par la législation européenne. On saisit dés lors toute la pertinence d’une application rigoureuse et harmonisée de la directive dans les divers Etats membres. On saisit tout autant la nécessité pour l’Union d’œuvrer pour des règles communes applicables au niveau international, en particulier en référence à la Convention 108 du Conseil de l’Europe. 2.2.4. Responsabiliser davantage les responsables du traitement L’AEDH est heureuse de souligner que la Commission insiste sur le fait que la simplification administrative ne doit pas mener à une réduction générale du niveau de responsabilité des responsables du traitement des données. Peut-être faudrait-il penser, afin de responsabiliser effectivement les responsables du traitement, à mettre en place l’obligation de rendre des comptes déjà implicite dans la Directive 95/46/CE. En ce sens, envisager des sanctions pour non-respect de cette obligation ou pour non-respect de la protection des données serait une très bonne chose qui assurerait sans doute un impact plus fort. Mais sans harmoniser les infractions ne risque-t-on pas de créer à nouveau des incohérences et des distorsions préjudiciables à l’application homogène de la protection ? Concernant l’obligation d’analyse d’impact au regard de la protection des données que la Commission se propose d’envisager d’introduire explicitement dans le cadre juridique dans les cas à « risques », l’AEDH soutient l’initiative tout en soulignant que cette approche « à la canadienne» correspond en fait à celle visée par les articles 19 et 20 de la Directive de 1995. Cependant, l’AEDH s’interroge sur le glissement « libéral » potentiel de cette nouvelle approche qui, si elle oblige explicitement les responsables de traitements à effectuer l’évaluation, n’impose pas dans le même temps, en l’état des orientations de la Commission, le contrôle de cette évaluation par les autorités de contrôle indépendantes, ni la consultation des représentants des personnes concernées. Un industriel, une entreprise 12 commerciale, une administration, peuvent- ils être, justement dans les cas dits « à risque », à la fois juge et partie ? Par ailleurs l’AEDH souligne le manque d’harmonisation préjudiciable à la protection équivalente au sein de l’UE, des cas « à risques » visés. Elle demande que des précisions soient apportées dans la proposition, sur les critères de risques visés. Ils devraient inclure tous ceux actuellement prévus dans les législations nationales en application de l’article 20 de la Directive, complétés si nécessaire, des cas reposant sur les nouvelles technologies à risques (RFID, biométrie, vidéo surveillance, collecte automatique de données dans le domaine du transport (carte de transport) ou au domicile des personnes, tel que dans le cadre des Smart Grid (compteurs d’électricité dits intelligents) et ceux visant des populations vulnérables). L’AEDH encourage également la Commission à, comme elle s’y engage, prendre davantage en compte la notion de « privacy by design » (également implicite dans la Directive de 95) et à inciter les producteurs de produits à faire de même. 2.2.5. Encourager les initiatives en matière d’autoréglementation et examiner la possibilité d’instaurer des régimes européens de certification En matière d’autoréglementation, la possibilité d’établir des codes de conduite existe déjà. Malheureusement, cette possibilité n’est que très peu exploitée. L’AEDH suggère à la Commission de mettre cette possibilité qu’offre la Directive 95/46/CE davantage en avant dans la nouvelle directive, afin qu’elle soit exploitée au mieux tout en maintenant leur contrôle par les autorités indépendantes tant pour les codes européens (G29) et en promouvant pour leur élaboration, l’implication des représentants des personnes concernées (associations de consommateurs, associations sur les droits civiques). En ce qui concerne la labellisation des processus, technologies, produits et services conformes aux normes de protection de la vie privée – déjà en place dans certains Etats membres comme en Allemagne5, en France6 ou en Suisse – et souhaitée par l’AEDH lors des premières consultations, il faut définir clairement ce que seraient les régimes européens de certifications et donc les labellisations : les certificateurs/labélisateurs pour leur agréments, et les référentiels présidant selon les domaines (types de dispositifs, produits, services) à l’ octroi d’un certificat devraient être soumis à l’accord des autorités de contrôles (ou du G29 en vue de leur portée européenne). La possibilité d’obtenir un certificat quant à elle devrait être ouverte aux opérateurs diffusant leurs produits et services sur le territoire de l’Union. Par ailleurs l’AEDH estime que la réflexion devrait se porter sur les domaines dans lesquels l’obtention d’un certificat devrait être rendue obligatoire, en particulier pour tous les produits et services offert au grand public, ceux destinés aux populations vulnérables et ceux relevant du « cloud computing ». Dès lors l’AEDH estime qu’au-delà de la définition des procédures, un plan d’action fixant priorité et calendrier par domaine est indispensable. 2.3. Réviser les règles de protection des données dans les domaines de la coopération policière et judiciaire en matière pénale L’AEDH ne peut que soutenir l’idée de « durcir la position de l’UE en matière de protection des données à caractère personnel dans le cadre de toutes les politiques européennes, y 5 6 En œuvre dans le Schleswig Holstein Seulement prévu dans la loi française mais toujours pas de mesure d’application 13 compris dans les domaines répressifs et de la prévention de la criminalité »7. Elle partage l’idée qu’avec le Traité de Lisbonne la décision-cadre 2008/977/JAI est désormais obsolète.et qu’en conséquence, il est nécessaire d’introduire le domaine de la coopération policière et judiciaire en matière pénale dans la législation générale relative à la protection des données à caractère personnel .Ceci doit permettre qu’aucune dérivation de finalité et de proportionnalité ne soit possible. Les limitations sectorielles qui pourraient être apportées pour des questions de procédures et d’enquêtes ne pourraient être que très limitées dans le temps et en aucun cas ne pouvant déroger aux principes des droits fondamentaux élaborés dans la Charte. Citons par exemple les effets pervers de mesures sectorielles telles que la Directive 2005/60/CE pour la lutte contre le blanchiment d’argent et le financement du terrorisme qui a permis aux banques de demander à des particuliers des détails de leur vie privée et leur patrimoine, mesures très intrusives que nous pouvons considérer comme disproportionnées par rapport au but à atteindre et dont on ignore les exploitations commerciales qui peuvent en résulter. Ce qui constitue ainsi un détournement de finalité des données personnelles. Il ne pourrait être fait qu’exceptionnellement état de nécessité lié à la lutte contre le terrorisme et la grande criminalité. Les notions de terrorisme et de grande criminalité devant elles-mêmes être redéfinies dans le droit de l’Union de façon plus précises et plus étroite, afin d’éviter toute dérive. La mise en place de fichiers de données et leur traitement ne pouvant en tout état de cause que concerner la recherche de faits avérés et des personnes clairement identifiées et non pas servir de fait à la mise en place de système de profilage qui doivent être en eux-mêmes bannis. L’AEDH, comme il a été dit plus haut, est très réservée quand à l’utilisation et à la multiplication de fichiers de données génétiques, qui posent tout à la fois des questions d’atteinte à la vie privée et à l’intégrité humaine que d’éthique. Elle s’est en tout état de cause prononcée contre la constitution de fichiers ADN et de ce fait contre leur interopérabilité dans le cadre du traité de Prum. De nombreuses plaintes ont été déposés à cet égard ce qui s’est traduit par des condamnations pour abus par la Cour de Luxembourg. Ici aussi l’utilisation de données génétiques ne devrait être possible que dans les cas de faits avérés et sous contrôle judiciaire. Une législation européenne restrictive allant dans ce sens semble aujourd’hui nécessaire pour pallier aux dérives qui sont constatées aujourd’hui. 2.4. La dimension mondiale de la protection des données 2.4.1. Clarifier et simplifier les règles applicables aux transferts internationaux de données L’AEDH soutient l’analyse de la Commission sur les incohérences et divergences préjudiciables aux personnes concernées et sur ses orientations visant à y remédier, ses incohérences et divergences résultant : - D’imprécisions concernant les critères actuellement en vigueur de jugement du niveau de protection assuré dans un pays tiers à la disposition de la Commission et des Etats membres, - de l’absence de procédure harmonisée au niveau des Etats membres, - du manque de transparence de toutes ces procédures. 7 Voir Plan d’action mettant en œuvre le programme de Stockholm 14 L’AEDH soutient également l’analyse concernant l’intérêt d’inclure dans les mécanismes subsidiaires au principe du niveau de protection adéquat assuré dans un pays tiers, en plus de celui des clauses type déjà prévu mais élargi aux cas des transferts entre administration, celui des règles internes aux entreprises multinationales contraignantes et des mesures envisagées pour améliorer la situation. Par contre, l’AEDH estime nécessaire que la portée des autres exceptions au principe du niveau de protection assuré dans un pays tiers qui laisse en pratique les personnes concernées sans aucune protection, doit à l’avenir faire explicitement l’objet de restrictions comme c’est déjà le cas dans certains Etats membres. Le champ d’application de ces dérogations, sur la base du consentement de la personne ou des autres fondements déjà prévus, devrait être restreint à des transferts ponctuels, non massif, ni récurrents. Par ailleurs, l’AEDH, comme elle l’a indiqué largement plus haut, est très gênée que la Commission envisage de définir les éléments essentiels en matière de protection des données que devraient comporter tous les types d’accords internationaux conclus par l’UE sans faire aucune référence à la Convention 108 du Conseil de l’Europe (et le cas échéant à ses développements pertinents dans les domaines visés par de tels accords), à laquelle tous les EM sont tenus puisqu’ils en sont signataires. 2.4.2. Promouvoir des principes universels L’AEDH réitère son étonnement devant l’absence d’une quelconque référence explicite à la Convention n°108 du Conseil de l’Europe et son intention d’amplifier son soutien à la politique de promotion de la convention au-delà du cadre de l’élargissement mais aussi plus largement sur le plan mondial notamment en direction des pays émergents ou en développement auxquels elle apporte des financements en matière de projets TICs et/ou vers lesquels des Etats membres transfèrent des données dans le cadre de sous-traitances de manière parfois massive. Cet instrument à vocation universelle est le seul texte contraignant en matière de protection des données à caractère personnel au niveau mondial, en l’absence d’initiative de l’ONU pour rendre contraignant les principes directeurs que l’Assemblée Générale a adopté à l’unanimité en 1990. La Commission ne la cite pas, pas même lorsqu’elle parle de cohérence entre le futur cadre juridique de l’Union et les normes techniques internationales élaborées par les organismes de normalisation. En ce qui concerne la réciprocité de la protection dans les actions extérieures de l’UE, notamment lorsque des données sont transférées à des pays tiers en vertu d’accords internationaux conclus entre l’UE et ceux-ci, l’AEDH trouve totalement anormal que l’UE puisse par exemple envoyer des données aux Etats-Unis sur ses propres ressortissants sans que ceux-ci ne bénéficient d’une protection d’effet équivalent, alors que les ressortissants américains bénéficient en Europe de la même protection que les ressortissants européens. De plus, la législation européenne protège les ressortissants des pays tiers lorsque par exemple, des entreprises basées sur le territoire de l’UE traitent leurs données alors que ce n’est pas le cas lorsque la situation est inversée. Aussi bien, s’agissant particulièrement des USA, profitant des initiatives qui y ont été rendues publiques pour consultation en décembre 2010 (Département du Commerce et FTC), l’AEDH attend de la Commission qu’elle les encourage , comme indiqué plus haut et qu’elle inscrive 15 enfin dans un texte législatif de porté horizontale, les principes fondamentaux de la protection des données au bénéfice des personnes quelque soit leur nationalité ou leur lieu de résidence et à mettre en œuvre le principe de l’ autorité de contrôle indépendante. En outre, l’AEDH observe que le fait de vouloir renforcer la coopération de l’UE avec des organisations internationales telles l’OCDE, le Conseil de l’Europe, les Nations Unies et d’autres organisations régionales se situe dans la poursuite connue de la politique actuelle de la Commission. Mais en ce qui concerne les autres organisations régionales, l’AEDH observe, sauf omission de sa part, qu’aucun bilan des résultats auxquels ces coopérations ont conduit n’est disponible. Enfin, l’AEDH note la volonté de la Commission de s’impliquer et suivre de près l’élaboration des normes techniques par les organismes de normalisation. L’AEDH souhaiterait cependant que la Commission inclue également des organismes tels que l’IUT et l’IETF comme organismes réellement techniques mais également l’OACI, le BIT et même l’OMS dans les domaines sectoriels. En définitive, il est suggéré à la Commission d’élaborer un réel plan d’action afin de contribuer de manière décisive à la promotion des principes sur le plan mondial. 2.5. Renforcer le cadre institutionnel en vue d’un plus grand respect des règles de protection des données L’AEDH accueille avec satisfaction la volonté d’accorder aux DPA un rôle plus important dans le contrôle de l’application des règles européennes et de se référer à la jurisprudence de la Cour de Justice de l’Union européenne en ce qui concerne leur indépendance8. Elle ne peut qu’aller dans le sens proposé : - - de renforcer, clarifier et harmoniser le statut et les pouvoirs des autorités nationales de protection des données dans le nouveau cadre juridique, y compris la pleine mise en œuvre de la notion d’«indépendance complète» ; d'améliorer la coopération et la coordination entre les autorités de protection des données ; de garantir une application plus cohérente des règles de l’UE en matière de protection des données dans tout le marché intérieur, notamment en renforçant le rôle des contrôleurs nationaux de la protection des données, en coordonnant mieux leur action par l’intermédiaire du groupe de travail «article 29» (qui devrait devenir un organe plus transparent). Au-delà, et en tout état de cause, il conviendra particulièrement de renforcer les pouvoirs d’action et d’intervention du CEPD, ou évaluer la possibilité de créer une véritable autorité indépendante européenne, agissant en coordination avec les DPA et le groupe de travail « article 29 ». Bien entendu la mise en place d’un véritable système cohérent et homogène de contrôle des données personnelles tant au niveau des Etats membres qu’au niveau de l’Union implique l’attribution de moyens propres significatifs, tant pour l’autorité indépendante européenne que pour assurer le fonctionnement du groupe de travail article 29 rénové. 8 Arrêt du 9 mars 2010 dans l’affaire C-518/07, Commission c/ Allemagne