| CELEX | 52017AE3365 |
| Type | Avis institutionnel |
| Date | mercredi 18 octobre 2017 |
| 2.3.2018 | FR | Journal officiel de l'Union européenne | C 81/209 |
Avis du Comité économique et social européen sur «Échange et protection de données à caractère personnel à l’ère de la mondialisation»
[COM(2017) 7 final]
(2018/C 081/29)
| Rapporteur: | Cristian PÎRVULESCU |
| Consultation | Commission européenne, 31.5.2017 |
| Base juridique | Article 304 du traité sur le fonctionnement de l’Union européenne |
|
|
|
| Décision de l’assemblée plénière | 8.5.2017 |
|
|
|
| Compétence | Section spécialisée «Relations extérieures» |
| Adoption en section spécialisée | 28.9.2017 |
| Adoption en session plénière | 18.10.2017 |
| Session plénière no | 529 |
| Résultat du vote (pour/contre/abstentions) | 175/1/3 |
1. Conclusions et recommandations
| 1.1. | Sur la base de ses valeurs fondamentales et de ses documents constitutifs, il incombe à l’Union européenne de devenir un acteur mondial dans la promotion du respect des droits fondamentaux et d’une protection adéquate de la vie privée et des données à caractère personnel. À cet égard, le Comité économique et social européen (CESE) invite la Commission européenne à se montrer proactive au niveau bilatéral et multilatéral concernant la promotion des normes les plus élevées en matière de protection des données à caractère personnel. |
| 1.2. | Le CESE estime que les quatre principaux critères que la Commission doit prendre en considération lorsqu’elle détermine les pays avec lesquels il conviendrait de mener un dialogue sur le caractère adéquat de la protection sont équilibrés et raisonnables. Il importe cependant d’interpréter ces critères à la lumière d’un véritable engagement de la part des gouvernements, des parlements et des tribunaux de ces pays à parvenir à un niveau équivalent et fonctionnel de protection des données à caractère personnel. |
| 1.3. | Le CESE plaide en faveur de plus de transparence et de participation concernant le processus d’octroi des décisions d’adéquation. Les représentants du secteur des entreprises, en particulier les PME, ainsi que les associations de protection des consommateurs, les groupements citoyens et d’autres organisations de la société civile doivent être consultés et associés. Le CESE est disposé à faciliter le processus de consultation. |
| 1.4. | Le CESE se félicite du dialogue engagé par la Commission avec ses principaux partenaires commerciaux en Asie de l’Est et du Sud-Est, y compris le Japon et la Corée, et éventuellement l’Inde, ainsi qu’avec les pays d’Amérique latine et les pays couverts par la politique européenne de voisinage qui ont exprimé un intérêt en faveur de l’obtention d’un «constat d’adéquation». |
| 1.5. | Le CESE espère que la Commission, le Conseil, les gouvernements nationaux et les parlements des États membres, ainsi que le gouvernement et le Congrès américains, accueilleront favorablement les propositions formulées dans la résolution du Parlement européen du 6 avril 2017 sur le caractère adéquat de la protection assurée par le bouclier de protection des données UE-États-Unis. Le Parlement européen exprime de vives inquiétudes dans sa résolution, dont bon nombre indiquent que l’accord et le cadre législatif actuels des États-Unis ne protègent pas, dans la pratique, les droits des citoyens de l’Union européenne. |
| 1.6. | Compte tenu de la rapidité des progrès technologiques et de l’expansion continue des infrastructures en matière de TIC, il est nécessaire d’assurer un contrôle et un suivi gouvernementaux étroits. Même si les décisions sur le caractère adéquat de la protection sont évaluées tous les quatre ans [voir l’article 45, paragraphe 3, du règlement général sur la protection des données (RGPD)], le CESE recommande d’établir un contact permanent entre la Commission, les autorités chargées de la protection des données (APD) et les autorités gouvernementales des pays tiers, afin de déterminer les nouveaux défis qui se profilent dans un environnement technologique et économique très dynamique. |
| 1.7. | Le CESE estime que la promotion de normes de protection des données au moyen d’instruments multilatéraux doit être une priorité pour la Commission européenne et que cet engagement devrait être soutenu par des ressources, de sorte qu’une protection réelle des droits de l’homme existe a priori ainsi qu’une voie de recours effective a posteriori en cas de préjudice. |
| 1.8. | Le Comité souligne que la Commission ne fait pas la distinction, dans sa communication, entre les différents types et utilisations des données à caractère personnel, à l’exception des affaires pénales. |
| 1.9. | La convention no 108 du Conseil de l’Europe de 1981, assortie de son protocole additionnel de 1999, est le seul instrument international contraignant dans le domaine de la protection des données. Cet instrument devrait être davantage développé et un plus grand nombre de pays tiers devraient être encouragés à s’y associer. |
| 1.10. | Les efforts multilatéraux au sein de l’OCDE (Organisation de coopération et de développement économiques), du G20 et de l’APEC (Coopération économique Asie-Pacifique) devraient être renforcés afin de mettre en place un système multilatéral de protection des données véritablement mondial. La coopération avec le rapporteur spécial des Nations unies sur le droit au respect de la vie privée doit être solide et fonctionnelle. |
| 1.11. | En ce qui concerne les échanges de données à caractère personnel dans le cadre de la prévention et de la poursuite des infractions pénales, ainsi que des enquêtes les concernant, le CESE est un ardent défenseur de la création de garanties solides en matière de protection des données, mais est également ouvert à l’introduction d’un niveau adéquat de protection des données dans le domaine répressif. La protection des données et la prévention et la poursuite des infractions pénales, y compris la cybercriminalité et le terrorisme, ainsi que les enquêtes les concernant, doivent aller de pair. |
| 1.12. | Le CESE rappelle l’importance de la protection des données à caractère personnel des personnes handicapées, y compris celles relatives à leur santé et à leur réadaptation, comme établi à l’article 22 de la convention des Nations unies relative aux droits des personnes handicapées. |
2. Contexte/Introduction
| 2.1. | La protection des données à caractère personnel fait partie du cadre constitutionnel commun de l’Europe et est consacrée à l’article 8 de la charte des droits fondamentaux de l’Union européenne. Elle occupe une place centrale dans la législation de l’Union européenne depuis plus de vingt ans, de l’adoption de la directive sur la protection des données en 1995 (la «directive de 1995») à celle du règlement général sur la protection des données (RGPD) et de la directive «police» en 2016. |
| 2.2. | La réforme de la législation de l’Union européenne sur la protection des données, adoptée en avril 2016, met en place un système qui garantit un niveau élevé de protection, à la fois à l’intérieur de l’Union européenne et dans le cadre des échanges internationaux de données à caractère personnel à des fins commerciales et à des fins répressives. Les nouvelles règles entreront en vigueur en mai 2018. |
| 2.3. | Après avoir mis au point les règles européennes en matière de protection des données, la Commission élabore désormais une stratégie en vue de promouvoir les normes internationales de protection des données. La communication présente les différents outils d’échange de données à caractère personnel au niveau international, sur la base de la réforme des règles de protection des données, ainsi que sa stratégie de coopération future avec les pays tiers sélectionnés afin de parvenir à des décisions d’adéquation et de promouvoir des normes de protection des données au moyen d’instruments multilatéraux. |
| 2.4. | Le règlement général sur la protection des données de 2016 propose une «boîte à outils» comprenant des mécanismes pour le transfert de données à caractère personnel de l’Union européenne vers des pays tiers: décisions d’adéquation, clauses contractuelles types, règles d’entreprise contraignantes, mécanismes de certification et codes de conduite. Ces mécanismes visent principalement à ce que, lorsque les données à caractère personnel d’européens sont transférées à l’étranger, celles-ci continuent de bénéficier de la protection. Tandis que l’architecture des transferts internationaux de données à caractère personnel est similaire à celle prévue au titre de la directive sur la protection des données de 1995, la réforme simplifie et élargit leur utilisation, et introduit de nouveaux outils pour les transferts internationaux (par exemple, les codes de conduite et les mécanismes de certification). |
3. Observations générales
| 3.1. | Le CESE salue les efforts de l’Union européenne pour protéger les données à caractère personnel de ses citoyens, tout en permettant à celles-ci de rester ouvertes et intégrées dans un monde de plus en plus interconnecté. |
| 3.2. | Sur la base de ses valeurs fondamentales et de ses documents constitutifs, il incombe à l’Union européenne de devenir un acteur mondial dans la promotion du respect des droits fondamentaux et d’un niveau élevé de protection de la vie privée et des données à caractère personnel. À cet égard, le CESE invite la Commission européenne à se montrer proactive au niveau bilatéral et multilatéral concernant la promotion des normes les plus élevées en matière de protection des données à caractère personnel de ses propres citoyens et de ceux de pays tiers. |
| 3.3. | L’Union européenne devrait soutenir le programme global de conformité en matière de protection des données à caractère personnel et ses principes de base: la protection des données est un droit fondamental et la protection de celui-ci est organisée grâce à l’adoption d’une législation générale dans ce domaine, en introduisant des droits exécutoires en matière de respect de la vie privée et en établissant des autorités de supervision indépendantes. |
| 3.4. | Le plus haut niveau de protection des données à caractère personnel constitue non seulement une responsabilité juridique, mais également une grande chance à saisir. L’économie numérique, les flux internationaux de biens et de services et l’administration en ligne bénéficient tous de la confiance des citoyens dans le cadre institutionnel et les protections réglementaires en place. La protection des données et un commerce international équitable sont tous deux essentiels pour les citoyens et ne devraient pas être considérés comme des valeurs contradictoires. |
| 3.5. | Le CESE continue d’appuyer l’orientation générale de la politique de l’Union européenne en matière de protection des données, comme il l’a fait dans ses précédents avis, tout en insistant sur la nécessité d’établir des niveaux de protection plus élevés. Dans son avis SOC/455 intitulé «Règlement général sur la protection des données», il fournit des exemples précis en ce qui concerne plusieurs articles, dans le sens d’une meilleure définition des droits, du renforcement de la protection des citoyens en général et des travailleurs en particulier, de la nature du consentement, de la licéité du traitement et, en particulier, des fonctions des délégués à la protection des données et du traitement des données en matière d’emploi (1). |
| 3.6. | En outre, le CESE a souligné le droit des personnes, physiques ou morales, à exprimer leur consentement en ce qui concerne leurs données. Dans son avis TEN/631 sur le thème «Protection des données à caractère personnel», le CESE estime que «les utilisateurs doivent être informés, formés, et rester prudents, car une fois leur consentement donné, le fournisseur pourra traiter davantage les contenus et les métadonnées pour obtenir le plus d’actions et de gains possible […]. L’éducation des utilisateurs à faire usage de leurs droits, tout comme l’anonymisation ou le chiffrement, devraient être des priorités liées à ce règlement [règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques]» (2). |
| 3.7. | Le CESE est favorable à la création, à partir de mai 2018, d’un ensemble paneuropéen unique de règles en lieu et place des 28 législations nationales en vigueur aujourd’hui. Grâce au mécanisme de guichet unique nouvellement créé, une seule et unique autorité chargée de la protection des données (l’«APD») aura pour tâche de superviser les opérations transfrontières de traitement de données, réalisées par une entreprise dans l’Union européenne. La cohérence de l’interprétation des nouvelles règles sera garantie. En particulier, dans les affaires transfrontières concernant plusieurs autorités nationales de protection des données, une décision unique sera adoptée pour faire en sorte que des solutions communes soient apportées à des problèmes communs. Le CESE espère que les nouvelles procédures permettront d’assurer non seulement la cohérence de l’interprétation, mais également le niveau le plus élevé possible de protection des données. |
| 3.8. | Le CESE prend note du fait que la communication et ses principales propositions sont accueillies favorablement par DIGITALEUROPE, l’organisation qui représente l’industrie des technologies numériques en Europe (3). La pénétration croissante de l’informatique en nuage pose de nouveaux défis complexes, qui sont appelés à évoluer en raison de la rapidité des mutations technologiques. La législation doit être adaptable afin qu’elle puisse être mise en adéquation avec l’évolution des technologies et du marché. |
4. Observations particulières
| 4.1. | Les décisions d’adéquation prises par la Commission sont actuellement l’instrument le plus pertinent pour garantir aux citoyens de l’Union européenne la protection de leurs données dans leurs relations avec les autres pays et entités, tant gouvernementales que privées. Elles sont également un instrument utile pour encourager les pays tiers à aspirer à un niveau de protection similaire pour leurs propres citoyens, et devraient être l’instrument privilégié pour protéger l’échange de données à caractère personnel. |
| 4.2. | Le CESE estime que les quatre principaux critères (4) que la Commission doit prendre en considération lorsqu’elle détermine les pays avec lesquels il conviendrait de mener un dialogue sur le caractère adéquat de la protection sont équilibrés et raisonnables. Il importe cependant d’interpréter ces critères à la lumière du véritable engagement de la part des gouvernements, des parlements et des tribunaux de ces pays à parvenir à un niveau équivalent et fonctionnel de protection des données à caractère personnel. |
| 4.3. | Le CESE plaide en faveur de plus de transparence et de participation concernant le processus d’octroi des décisions d’adéquation. Les représentants du secteur des entreprises, en particulier les PME, ainsi que les associations de protection des consommateurs et les organisations de la société civile, doivent être consultés et associés. Le CESE est disposé à faciliter le processus de consultation. |
| 4.4. | Le CESE se félicite du dialogue engagé par la Commission avec ses principaux partenaires commerciaux en Asie de l’Est et du Sud-Est, y compris le Japon et la Corée, et éventuellement l’Inde, ainsi qu’avec les pays d’Amérique latine et les pays couverts par la politique européenne de voisinage, qui ont exprimé un intérêt en faveur de l’obtention d’un «constat d’adéquation». |
| 4.5. | Le CESE estime que conférer un statut d’adéquation partielle à certains pays, ce qui permettrait d’inclure certains secteurs et territoires, pose problème parce que cette option n’offre pas de garanties constitutionnelles, institutionnelles et procédurales suffisantes et cohérentes que les données à caractère personnel sont protégées. L’adéquation partielle pourrait constituer une étape intermédiaire utile, dans le cadre de laquelle l’Union européenne et les pays respectifs pourraient trouver un terrain d’entente et coordonner leurs efforts. L’objectif à long terme est de parvenir à un accord plus solide et plus complet sur la base des cadres existants dans tous les pays concernés (5). |
| 4.6. | Le CESE accueille favorablement les efforts visant à créer un cadre bilatéral solide et fonctionnel avec les États-Unis d’Amérique. La récente décision sur le bouclier de protection des données UE-États-Unis, en remplacement du cadre sur la sphère de sécurité UE-États-Unis, constitue une avancée. Son champ d’application est bien délimité. En revanche, dans la mesure où il est fondé sur la souscription volontaire, il laisse de côté un grand nombre d’organisations américaines. |
| 4.7. | Le CESE espère que la Commission, le Conseil, les gouvernements nationaux et les parlements des États membres, ainsi que le gouvernement et le Congrès américains accueilleront favorablement les propositions formulées dans la résolution du Parlement européen du 6 avril 2017 sur le caractère adéquat de la protection assurée par le bouclier de protection des données UE-États-Unis. Le Parlement européen exprime de vives inquiétudes dans cette résolution, dont bon nombre indiquent que l’accord et le cadre législatif actuels des États-Unis ne protègent pas, dans la pratique, les droits des citoyens de l’Union européenne (6). |
| 4.8. | Des préoccupations similaires ont été soulevées par plusieurs groupes de la société civile de l’Union européenne et des États-Unis (7). Le CESE encourage toutes les institutions de l’Union européenne à prendre note de ces préoccupations. |
| 4.9. | Le Comité, tout en reconnaissant la volonté de la Commission de créer une nouvelle dynamique, observe que ses propositions maintiennent des incertitudes juridiques pour les personnes dont les droits ont été violés. Plusieurs éléments contribuent à cette situation:
|
| 4.10. | Une surveillance à la suite de l’adoption d’une décision d’adéquation est essentielle pour garantir que les accords fonctionnent dans la pratique. Compte tenu de la rapidité des progrès technologiques et de l’expansion continue des infrastructures en matière de TIC, il est nécessaire d’assurer un contrôle et un suivi gouvernementaux étroits. Même si les décisions relatives au caractère adéquat de la protection sont évaluées tous les quatre ans (voir l’article 45, paragraphe 3, du règlement général sur la protection des données — RGPD), le CESE recommande d’établir un contact permanent entre la Commission, les autorités chargées de la protection des données (APD) et les autorités gouvernementales des pays tiers, afin de déterminer les nouveaux défis qui se profilent dans un environnement technologique et économique très dynamique. |
| 4.11. | Le CESE encourage la Commission à collaborer avec les parties prenantes afin de mettre au point d’autres mécanismes de transfert des données à caractère personnel, qui soient adaptés aux besoins ou conditions spécifiques des différents secteurs industriels, modèles commerciaux et/ou opérateurs. |
| 4.12. | Le CESE estime que la promotion de normes de protection des données au moyen d’instruments multilatéraux devrait constituer une priorité pour la Commission et que cet engagement devrait être soutenu par des ressources. |
| 4.13. | La convention no 108 du Conseil de l’Europe, assortie de son protocole additionnel, est le seul instrument international contraignant dans le domaine de la protection des données. Cet instrument devrait être davantage développé et un plus grand nombre de pays tiers devraient être encouragés à s’y associer. |
| 4.14. | Les efforts multilatéraux au sein de l’OCDE, du G20 et de l’APEC devraient être renforcés afin de mettre en place un système multilatéral véritablement mondial de protection des données. La coopération avec le rapporteur spécial des Nations unies sur le droit au respect de la vie privée doit être solide et fonctionnelle. |
| 4.15. | Le renforcement de la coopération avec les autorités nationales d’application et de contrôle concernées en matière de respect de la vie privée dans les pays tiers devrait être un objectif prioritaire. Même s’il ne crée pas d’obligations juridiquement contraignantes, le Global Privacy Enforcement Network (GPEN — réseau mondial d’application des lois de protection de la vie privée) de l’OCDE peut favoriser la coopération entre les services chargés de l’application, grâce au partage de bonnes pratiques en matière de réponse aux difficultés transfrontières et en soutenant des initiatives conjointes d’application et des campagnes de sensibilisation (8). |
| 4.16. | En ce qui concerne les échanges de données à caractère personnel dans le cadre de la prévention et de la poursuite des infractions pénales, ainsi que des enquêtes les concernant, le CESE est un ardent défenseur de la création de garanties solides en matière de protection des données, mais est également ouvert à l’introduction d’un niveau adéquat de protection des données dans le domaine répressif. La protection des données et la prévention et la poursuite des infractions pénales, y compris la cybercriminalité et le terrorisme, ainsi que les enquêtes les concernant, doivent aller de pair. |
| 4.17. | L’accord-cadre sur la protection des données entre l’Union européenne et les États-Unis, conclu en décembre 2016, constitue un bon exemple de la manière dont les droits et obligations en matière de protection des données, conformes à l’acquis de l’Union, peuvent être intégrés dans des accords bilatéraux. Les mêmes procédures peuvent aussi servir dans différents domaines d’action, tels que la politique de concurrence ou la protection des consommateurs. Le CESE encourage la Commission à étudier la possibilité de conclure des accords-cadres similaires avec ses grands partenaires en matière répressive. |
| 4.18. | Le Comité attend avec intérêt les résultats de la première évaluation annuelle du «bouclier de protection des données» UE-États-Unis cette année, et souhaite qu’elle soit approfondie et constitue un exercice participatif. Le CESE espère que l’Union européenne et les États-Unis resteront déterminés à œuvrer ensemble en faveur d’un niveau élevé de protection des données à caractère personnel. |
Bruxelles, le 18 octobre 2017.
Le président du Comité économique et social européen
Georges DASSIS
(1) Avis du CESE sur le règlement général sur la protection des données du 23 mai 2012. JO C 229 du 31.7.2012, p. 90.
(2) Avis du CESE sur la protection des données à caractère personnel du 5 juillet 2017. JO C 345 du 13.10.2017, p. 138.
(3) Lettre à la Commission européenne concernant sa récente communication relative aux transferts internationaux de données, DIGITALEUROPE, 12 mai 2017, consultée le 1er août: http://www.digitaleurope.org/Press-Room/Latest-News/News-Story/newsID/623.
(4) Les principaux critères sont: 1. l’étendue des relations commerciales (existantes ou potentielles) de l’Union européenne avec un pays tiers donné, notamment l’existence d’un accord de libre échange ou les négociations en cours; 2. l’étendue des flux de données à caractère personnel provenant de l’Union européenne, preuve de liens géographiques et/ou culturels; 3. le rôle précurseur du pays tiers dans le domaine de la protection de la vie privée et des données, qui peut servir de modèle pour d’autres pays de sa région; et 4. la relation politique globale avec le pays tiers concerné, en particulier dans le contexte de la promotion de valeurs communes et d’objectifs partagés au niveau international.
(5) La Commission encourage les États-Unis à poursuivre leurs efforts en vue de l’établissement d’un système complet de protection de la vie privée et des données à caractère personnel, permettant la convergence entre les deux régimes à plus long terme. Voir la communication de la Commission au Parlement européen et au Conseil — «Flux de données transatlantiques: rétablir la confiance grâce des garanties solides», COM(2016) 117 final, 29.2.2016.
(6) Dans sa résolution du 6 avril 2017 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis, le Parlement européen «[d]éplore le fait que, ni les principes du bouclier de protection des données, ni les lettres du gouvernement américain apportant des clarifications et des assurances ne démontrent l’existence de droits de recours effectifs pour les particuliers européens dont les données personnelles sont transférées à une organisation américaine conformément aux principes du bouclier de protection des données et consultées et traitées par les autorités publiques américaines à des fins d’application de la loi et d’intérêt public, droits mis en exergue par la CJUE dans son arrêt du 6 octobre 2015 en ce qu’ils constituent l’essence du droit fondamental prévu à l’article 47 de la charte de l’Union européenne», paragraphe 26.
(7) Appel de la coalition d’organisations de défense des libertés civiles afin que les législateurs européens agissent pour que la réforme de la surveillance américaine garantisse un cadre de respect des droits des personnes non américaines, 28 février 2017, consulté le 1er août: https://www.accessnow.org/cms/assets/uploads/2017/02/Section702CoalitionLetter1.pdf.
(8) Voir également le cadre de l’OCDE en matière de protection de la vie privée, OCDE, 2013.
Avis n° 5/2017 sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (UE, Euratom) n° 1141/2014 du Parlement européen et du Conseil du 22 octobre 2014 relatif au statut et au financement des partis politiques européens et des fondations politiques européennes
14/12/2017
Résolution législative du Parlement européen du 12 décembre 2017 sur le projet de décision du Conseil relatif à la conclusion, au nom de l’Union, de l’accord de partenariat et de coopération renforcée entre l’Union européenne et ses États membres, d’une part, et la République du Kazakhstan, d’autre part (12409/2016 — C8-0469/2016 — 2016/0166(NLE))
12/12/2017
Résolution législative du Parlement européen du 12 décembre 2017 sur le projet de décision du Conseil relative à la conclusion d’un accord entre l’Union européenne et la Confédération suisse sur le couplage de leurs systèmes d’échange de quotas d’émission de gaz à effet de serre (13076/2017 — C8-0415/2017 — 2017/0193(NLE))
12/12/2017
Résolution législative du Parlement européen du 12 décembre 2017 sur le projet de décision du Conseil concernant la conclusion, au nom de l’Union européenne, de l’accord de transport aérien entre la Communauté européenne et ses États membres, d’une part, et les États-Unis d’Amérique, d’autre part (13419/2016 — C8-0100/2017 — 2006/0058(NLE))
12/12/2017