Bruxelles, le 3 juin — Lors de sa 30e séance plénière, le CEPD a adopté une déclaration sur les droits des personnes concernées en rapport avec l’état d’urgence dans les États membres. Le comité a également adopté une lettre en réponse à une lettre de l’Union des libertés civiles pour l’Europe, Access Now et l’Union hongroise des libertés civiles (HCLU) concernant le décret nº 179/2020 du 4 mai du gouvernement hongrois.
Le comité européen de la protection des données rappelle que, même en cette période exceptionnelle, la protection des données à caractère personnel doit être préservée dans toutes les mesures d’urgence, afin de contribuer ainsi au respect des valeurs fondamentales que sont la démocratie, l’état de droit et les droits fondamentaux sur lesquels l’Union est fondée.
Dans la déclaration et dans la lettre, le comité européen de la protection des données rappelle que le RGPD reste d’application et permet une réaction efficace à la pandémie, tout en protégeant les droits et libertés fondamentaux. La législation relative à la protection des données permet déjà les opérations de traitement de données nécessaires pour contribuer à la lutte contre la pandémie de COVID-19.
La déclaration rappelle les grands principes applicables aux limitations imposées aux droits des personnes concernées dans le cadre de l’état d’urgence dans les États membres:
- les limitations qui sont de portée générale, extensive ou intrusive dans la mesure où elles vident un droit fondamental de son contenu essentiel ne se justifient pas.
- Dans des conditions spécifiques, l’article 23 du RGPD autorise les législateurs nationaux à limiter, au moyen d’une mesure législative, la portée des obligations des responsables du traitement et des sous-traitants et les droits des personnes concernées lorsqu’une telle restriction respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour préserver des objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment en matière de santé publique.
- Les droits des personnes concernées sont au cœur du droit fondamental à la protection des données et il convient d’interpréter l’article 23 du RGPD et de le lire en tenant compte du fait que leur application devrait constituer la règle générale. Étant donné que les limitations constituent des exceptions à la règle générale, elles ne devraient être appliquées que dans des circonstances circonscrites.
- Les limitations doivent être prévues «par la loi», et la législation établissant les limitations devrait être suffisamment claire pour permettre aux citoyens de comprendre les conditions dans lesquelles les responsables du traitement sont habilités à y recourir. En outre, les limitations doivent être prévisibles par les personnes qui y sont soumises. Les limitations imposées pour une durée qui n’est pas précisément limitée dans le temps et qui s’appliquent rétroactivement ou qui sont soumises à des conditions non définies ne satisfont pas au critère de prévisibilité.
- La simple existence d’une pandémie ou toute autre situation d’urgence isolée ne constitue pas une raison suffisante pour imposer une quelconque restriction des droits des personnes concernées; au contraire, toute restriction doit clairement contribuer à la préservation d’un objectif important d’intérêt public général de l’UE ou d’un État membre.
- L’état d’urgence, adopté dans un contexte de pandémie, est une condition juridique susceptible de légitimer des limitations aux droits des personnes concernées, à condition que ces limitations ne s’appliquent que dans la mesure où elles sont strictement nécessaires et proportionnées afin de préserver l'objectif de santé publique. Par conséquent, les limitations doivent être strictement limitées dans leur portée et dans le temps, étant donné que les droits des personnes concernées peuvent être restreints mais non niés. Par ailleurs, les garanties prévues à l’article 23, paragraphe 2, du RGPD, doivent pleinement s’appliquer.
- Des limitations adoptées dans le contexte d’un état d’urgence suspendant ou ajournant l’application des droits des personnes concernées ainsi que les obligations incombant aux responsables du traitement des données et des sous-traitants, sans limitation temporelle claire, équivaudraient à une suspension totale de fait et ne seraient pas compatibles avec l’essence des libertés et droits fondamentaux.
En outre, le comité européen de la protection des données publiera des directives sur la mise en œuvre de l'article 23 du RGPD au cours des mois à venir.
Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.