COM (1999) 337 final
du 14/07/1999
Date d'adoption du texte par les instances européennes : 18/12/2000
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 20/10/1999Examen : 20/01/2000 (délégation pour l'Union européenne)
Institutions communautaires
Protection des données personnelles
Proposition
E 1316 - COM (99) 337 final
(Procédure écrite du 20 janvier 2000)
Cette proposition de règlement du Conseil et du Parlement européen a pour objet de répondre aux objectifs fixés par l'article 286 du traité d'Amsterdam qui prévoit qu'à compter du 1er janvier 1999, les institutions et organes communautaires doivent, d'une part, respecter les règles sur la protection des données personnelles essentiellement fixées par une directive de 1995 et, d'autre part, faire vérifier l'application de ces règles par un « organe indépendant de contrôle ».
1. Obligations des responsables et droits des personnes
Les principales dispositions du texte définissent les obligations des responsables des traitements de données et garantissent les droits des personnes concernées. Elles fixent ainsi notamment :
- les conditions de la licéité des traitements de données personnelles : la collecte, qui doit avoir une finalité déterminée et légitime, doit être loyale, pertinente et adaptée aux objectifs fixés,; la durée de conservation des données doit être limitée ; la personne concernée doit être informée de cette collecte et avoir un droit d'accès... ;
- les voies de recours et les sanctions applicables en cas de violation des droits d'une personne à la suite du traitement des données la concernant ;
- la protection des données à caractère personnel et de la vie privée dans le cadre des réseaux internes de télécommunications.
Chaque institution ou organe communautaire doit nommer en son sein un délégué à la protection des données (DPD) chargé d'assurer, de manière indépendante, le respect des principes de la protection des données. Il notifie à l'autorité de contrôle, appelée contrôleur européen de la protection des données, les opérations de traitement qui seraient susceptibles de présenter des risques particuliers au regard des droits et libertés des individus et qui doivent alors faire l'objet d'un contrôle préalable.
2. Autorité de contrôle
Le contrôleur est nommé, sur proposition de la Commission, par le Parlement européen, le Conseil et la Commission d'un commun accord pour un mandat de quatre ans, renouvelable.
Il est chargé de :
« a) [recevoir] et [examiner] les plaintes ;
b) [contrôler] toutes les opérations de traitement portant sur des données à caractère personnel effectuées par toute institution ou tout organe communautaire, à l'exclusion de la Cour de Justice et du Tribunal de première instance des Communautés européennes dans l'exercice de leurs fonctions juridictionnelles ;
c) [conseiller] toutes les institutions et tous les organes communautaires pour toutes les questions concernant l'utilisation de données à caractère personnel, en particulier avant l'élaboration par ces institutions et organes de règles internes relatives à la protection des droits et libertés fondamentaux des personnes à l'égard du traitement des données à caractère personnel ;
d) [suivre] l'évolution des technologies de l'information et des communications, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel. »
Il peut par ailleurs mener des enquêtes et prendre des sanctions administratives. Il doit présenter au Parlement européen un rapport annuel sur ces activités.
*
Les Etats membres sont favorables au principe d'un tel texte. Toutefois, un désaccord subsiste sur la forme que doit prendre l'organe indépendant de contrôle des données. La plupart des Etats souhaiteraient un organe unipersonnel, alors que le Gouvernement français défend la formule d'un organe collégial qui lui paraît assurer une plus grande indépendance et une réelle impartialité. Cette formule permettrait par ailleurs de limiter le rôle du délégué à la protection des données qui, pour chaque institution ou organe communautaire, jouerait alors le rôle d'une simple courroie de transmission entre son administration et l'autorité de contrôle.
Par ailleurs, le Gouvernement a émis des réserves tenant à l'insuffisance des garanties offertes aux individus en cas de changement de finalité de la collecte ou de transfert des données.
Ce texte sera bientôt réexaminé et pourrait être adopté lors du second semestre 2000. Compte tenu de la volonté du Gouvernement d'assurer le plein respect de la protection des données personnelles et de la vie privée, il n'a pas paru nécessaire à la délégation d'intervenir plus avant au sujet de ce texte, sur le principe duquel elle ne peut qu'être favorable.