Communication — 52023XX01055

Le 10 juillet 2023, la Commission européenne a publié la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 223/2009 relatif aux statistiques européennes (ci-après la «proposition»). La proposition vise à rendre le cadre juridique régissant les statistiques européennes apte à répondre aux besoins futurs et à améliorer la réactivité du système statistique européen à répondre aux besoins en données.

Le CEPD se félicite de l’objectif de la proposition, à savoir rendre le cadre juridique régissant les statistiques européennes apte à répondre aux besoins futurs. Le CEPD reconnaît également que de nouvelles approches innovantes peuvent être prometteuses en matière de statistiques et de recherche. Toutefois, le fait que des informations concernant des personnes spécifiques puissent être obtenues à partir de n’importe quelle source, y compris des traces numériques concernant des personnes spécifiques détenues par des détenteurs de données privés, le préoccupe sérieusement. Le CEPD considère que la collecte de données à caractère personnel provenant de ces sources peut ne pas être nécessaire et proportionnée aux objectifs poursuivis, compte tenu des risques potentiels qui pèsent sur les droits et libertés des personnes concernées. Par conséquent, le CEPD estime qu’il est nécessaire de préciser dans la proposition que seules des données à caractère non personnel (anonymisées) seront demandées aux détenteurs de données privés par les instituts nationaux de statistique ou la Commission (Eurostat).

Dans la mesure où la proposition vise à établir une base juridique permettant de demander des données à caractère personnel aux détenteurs de données privés, elle devrait apporter une vue d’ensemble claire et complète des catégories de données à caractère personnel concernées, en tenant compte des exigences de nécessité et de proportionnalité. En outre, les sources à partir desquelles les catégories de données à caractère personnel peuvent être obtenues devraient être clairement énoncées dans la proposition elle-même ou dans la législation sectorielle. Par ailleurs, le CEPD recommande que l’échange de données à caractère personnel auquel procèdent les détenteurs de données privés intervienne au moyen de technologies de protection de la vie privée et à l’aide d’une infrastructure sécurisée.

En ce qui concerne la collecte de statistiques à partir des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice, le CEPD estime que la proposition devrait être modifiée. En particulier, la proposition devrait préciser que les statistiques relatives aux systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice sont collectées exclusivement à partir du répertoire central des rapports et statistiques (ci-après le «CRRS»). Si nécessaire, les colégislateurs pourraient prévoir des mesures transitoires spécifiques jusqu’à ce que le CRRS soit pleinement opérationnel.

Le CEPD se félicite qu’en ce qui concerne le partage de données au sein du système statistique européen, la proposition envisage l’utilisation de technologies de protection de la vie privée. Dans le même temps, le CEPD rappelle que tout partage de données à caractère personnel doit en tout état de cause être conforme à toutes les dispositions pertinentes du RGPD (1) et du RPDUE (2), y compris l’article 89, paragraphe 1, du RGPD et l’article 13 du RPDUE. Le CEPD recommande d’introduire le recours à des études pilotes pour tester et évaluer l’adéquation des technologies de protection de la vie privée.

1. Introduction

1.

Le 10 juillet 2023, la Commission européenne a publié la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 223/2009 relatif aux statistiques européennes (ci-après la «proposition») (3).

2.

Le règlement (CE) no 223/2009 du Parlement européen et du Conseil (4) établit le cadre juridique au niveau de l’Union pour le développement, la production et la diffusion de statistiques européennes.

3.

L’objectif général de la proposition est de rendre le cadre juridique régissant les statistiques européennes apte à répondre aux besoins futurs et d’améliorer la réactivité du système statistique européen (5) (le «SSE») aux besoins en données. La proposition vise également à fournir un mécanisme et des outils permettant au SSE de réagir rapidement, de manière collective et coordonnée, aux demandes de données urgentes en temps de crise (6).

4.

Plus précisément, la proposition vise à permettre aux autorités statistiques d’exploiter pleinement le potentiel offert par les sources de données et les technologies numériques en permettant leur réutilisation aux fins des statistiques européennes. La proposition contribuerait à rendre le SSE plus efficace et plus efficient en encourageant le partage des données et en renforçant sa coordination. La proposition: (a) préserverait strictement le secret statistique et la confidentialité des données; (b) actualiserait les tâches des partenaires du SSE; (c) définirait les rôles possibles pour exploiter les opportunités offertes par la transformation numérique en vue d’une production statistique plus rentable et moins contraignante; et (d) préciserait les nouvelles fonctions que les autorités statistiques pourraient remplir (7).

5.

Le présent avis est émis par le CEPD en réponse à une demande de consultation présentée par la Commission européenne le 10 juillet 2023, conformément à l’article 42, paragraphe 1, du RPDUE. Le CEPD se félicite de la référence faite à cette consultation au considérant 24 de la proposition.

7. Conclusions

À la lumière des considérations qui précèdent, le CEPD recommande aux colégislateurs de prendre les mesures suivantes:

(1)	faire référence, dans un considérant, au respect des garanties relatives au traitement des données à caractère personnel à des fins statistiques en vertu de l’article 89 du RGPD et de l’article 13 du RPDUE, en particulier au principe qui veut que les données doivent être anonymisées;

(2)

préciser à l’article 17 bis, paragraphe 2, de la proposition que les statistiques relatives aux LSIT dans l’espace de liberté, de sécurité et de justice sont collectées exclusivement à partir du CRRS. Dans la mesure où cela est pertinent, les colégislateurs pourraient prévoir des mesures transitoires jusqu’à ce que le CRRS soit pleinement opérationnel;

(3)	préciser à l’article 17 quater, paragraphe 2, de la proposition que seules des données à caractère non personnel (anonymisées) seront demandées aux détenteurs de données privés, en particulier en supprimant le libellé «dans la mesure du possible» de l’article 17 quater, paragraphe 2;

(4)	préciser que tout traitement de données effectué à la suite d’une demande de données au titre de l’article 17 quater est sans préjudice de la directive «vie privée et communications électroniques» (8);

(5)

si les colégislateurs souhaitent fournir un cadre permettant aux INS et à la Commission de demander des données à caractère personnel à des détenteurs de données privés dans des circonstances spécifiques, prévoir: — un aperçu clair et complet des catégories de données à caractère personnel qui peuvent être demandées et des types de sources auprès desquelles ces catégories de données à caractère personnel peuvent être obtenues; et — des garanties spécifiques en exigeant que le partage des données par les détenteurs de données privés soit fondé sur des technologies spécifiquement conçues pour satisfaire aux exigences des règlements (UE) 2016/679 et (UE) 2018/1725 et s’effectue au moyen d’une infrastructure sécurisée;

(6)	introduire l’obligation pour la Commission (Eurostat) et les États membres de tester et d’évaluer, au moyen d’études pilotes, l’adéquation des technologies de protection de la vie privée pertinentes pour le partage de données au sein du SSE;

(7)

envisager de donner à la Commission la possibilité d’adopter des actes d’exécution établissant des spécifications techniques pour le partage des données et des mesures pour la confidentialité et la sécurité des informations, lorsque les études pilotes identifient des solutions efficaces et sûres pour le partage des données;

(8)	préciser, dans le contexte de l’infrastructure destinée à faciliter le partage des données, les rôles des différents acteurs concernés en tant que responsable du traitement, responsable conjoint du traitement ou sous-traitant dans le dispositif de la proposition.

---

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(2) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données. données et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(3) COM(2023) 402 final.

(4) Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 du Parlement européen et du Conseil relatif à la transmission à l’Office statistique des Communautés européennes d’informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).

(5) L’article 4 du règlement (CE) no 223/2009 dispose que «[l]e système statistique européen (SSE) est le partenariat entre l’autorité statistique communautaire, c’est-à-dire la Commission (Eurostat), et les instituts nationaux de statistique (INS) ainsi que les autres autorités nationales responsables dans chaque État membre du développement, de la production et de la diffusion de statistiques européennes».

(6) COM(2023) 402 final, p. 1.

(7) Voir COM(2023) 402 final, p. 1-2.

(8) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p.37).