Le comité européen de la protection des données et le contrôleur européen de la protection des données (CEPD) adoptent un avis conjoint concernant l’acte sur la gouvernance des données

10 March 2021 EDPB

Bruxelles, le 10 mars — Le comité européen de la protection des données et le CEPD ont adopté un avis conjoint concernant la proposition relative à un acte sur la gouvernance des données. Cet acte vise à favoriser la disponibilité de données en augmentant la confiance dans les intermédiaires de données[1] et en renforçant les mécanismes de partage de données dans l’ensemble de l’UE. Notamment, l’acte est destiné à promouvoir la mise à disposition de données du secteur public en vue d’une réutilisation et le partage de données entre entreprises, tout en permettant l’utilisation de données à caractère personnel avec l’aide d’un «intermédiaire de partage de données à caractère personnel». Cet acte vise également à permettre l’utilisation de données pour des motifs altruistes.

Le comité et le CEPD reconnaissent l’objectif légitime de l’acte d’améliorer les conditions du partage des données dans le marché intérieur. Dans le même temps, la protection des données à caractère personnel est un élément essentiel et faisant partie intégrante de la confiance dans l’économie numérique. Dans cet avis conjoint, le comité et le CEPD invitent les colégislateurs à veiller à ce que le futur acte soit pleinement conforme à la législation de l’UE en matière de protection des données à caractère personnel, afin de favoriser une confiance dans l’économie numérique et de maintenir le niveau de protection prévu par le droit de l’Union sous la supervision des autorités de contrôle des États membres de l’UE.  

Andrea Jelinek, présidente du comité européen de la protection des données, a fait la déclaration suivante: «Le cadre juridique de l’Union en matière de protection des données ne fait pas obstacle au développement de l’économie des données. Bien au contraire, il le permet: la confiance dans toute sorte de partage de données ne peut être instaurée qu’en respectant la législation existante en matière de protection des données. Le RGPD est le fondement sur lequel le modèle européen de gouvernance des données doit être construit. C’est la raison pour laquelle nous soulignons la nécessité d’assurer une cohérence avec le RGPD en ce qui concerne la compétence des autorités de contrôle, les rôles des différents acteurs concernés, la base juridique pour le traitement des données à caractère personnel, les garanties nécessaires et l’exercice des droits des personnes concernées».

Wojciech Wiewiórowski, CEPD, a ajouté: «Nous avons conscience de l’importance croissante des données pour l’économie et la société, comme indiqué dans la stratégie européenne pour les données. Toutefois, comme les «mégadonnées impliquent une grande responsabilité», des garanties appropriées en matière de protection des données doivent être mises en place. Le cadre global pour les espaces européens de données devrait garantir que l’acquis en matière de protection des données soit préservé».

Le comité et le CEPD considèrent que le législateur de l’Union devrait s’assurer que la formulation de l’acte indique clairement et sans ambiguïté que cet acte n’aura aucune incidence sur le niveau de protection des données à caractère personnel des personnes, et qu’aucun droit ni aucune obligation énoncé dans la législation en matière de protection des données ne sera modifié. 

En ce qui concerne la réutilisation des données à caractère personnel détenues par des organismes du secteur public, le comité et le CEPD recommandent d’aligner l’acte sur les règles existantes relatives à la protection des données à caractère personnel énoncées dans le RGPD et sur la directive sur les données ouvertes. En outre, il convient de préciser que la réutilisation des données à caractère personnel détenues par des organismes du secteur public ne peut être autorisée que si elle est fondée sur le droit de l’Union ou le droit d’un État membre. Ces lois devraient comprendre une liste de finalités compatibles claires pour lesquelles un traitement ultérieur peut être légalement autorisé ou constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23 du RGPD.

En ce qui concerne les prestataires de services de partage de données, l’avis conjoint souligne la nécessité de garantir des informations et contrôles préalables pour les personnes, en tenant compte des principes de protection des données dès la conception et par défaut, de transparence et de limitation de la finalité. Par ailleurs, les modalités selon lesquelles ces prestataires de services aideraient efficacement les personnes à exercer leurs droits en tant que personnes concernées devraient être clarifiées.

Quant à l’altruisme en matière de données, le comité et le CEPD suggèrent que l’acte devrait mieux définir les finalités d’intérêt général de cet «altruisme en matière de données». L’altruisme en matière de données devrait être organisé de manière à permettre aux personnes de facilement donner ou retirer leur consentement.

Compte tenu des risques éventuels pour les personnes concernées lorsque leurs données à caractère personnel pourraient être traitées par des prestataires de services de partage de données ou des organisations altruistes en matière de données, le comité et le CEPD considèrent que les régimes d’autorisation pour ces entités, tels qu’énoncés dans l’acte, ne prévoient pas de procédure de contrôle suffisamment rigoureuse applicable à ces services. Par conséquent, le comité et le CEPD recommandent d’étudier d’autres procédures qui prévoient d’intégrer de façon plus systématique des outils de responsabilisation, en particulier l’adhésion à un code de conduite ou un mécanisme de certification.

L’avis conjoint comprend également des recommandations concernant la désignation des autorités de contrôle en tant que principales autorités compétentes pour contrôler le respect des dispositions de l’acte, en concertation avec les autres autorités sectorielles concernées.

______________________________________
[1] Voir l’exposé des motifs de la proposition, p. 1.

Note à l’attention des éditeurs: Veuillez noter que tous les documents adoptés lors de la session plénière du comité européen de la protection des données font l’objet des contrôles juridiques, linguistiques et de formatage nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces contrôles effectués.

EDPB_Press Release_statement_2021_02