Contrôleur européen de la protection des données
Le Contrôleur européen de la protection des données (CEPD) (en anglais European Data Protection Supervisor, EDPS) est une autorité de contrôle indépendante dépendant de l'Union européenne qui a pour mission première d’assurer que les institutions et organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles politiques.
Contrôleur européen de la protection des données | |
Situation | |
---|---|
Création | Janvier 2004 |
Siège | Bruxelles (Belgique) |
Organisation | |
Base légale | |
Contrôleur | Wojciech Wiewiórowski |
Site web | edps.europa.eu |
Le 6 décembre 2019, Wojciech Wiewiórowski a pris ses fonctions de contrôleur européen de la protection des données. Il a été nommé pour un mandat de cinq ans par décision conjointe du Parlement européen et du Conseil[1].
Le Règlement (UE) 2018/1725[2] définit les fonctions et les compétences du Contrôleur européen de la protection des données (Chapitre VI) ainsi que l’indépendance institutionnelle du CEPD en tant qu’autorité de contrôle. Il définit également les règles en matière de protection des données au sein des institutions de l’UE.
Dans la pratique, les activités du CEPD peuvent se diviser en trois fonctions principales: supervision, consultation et coopération.
Supervision
Dans la fonction de supervision, la principale activité consiste à superviser le traitement des données à caractère personnel effectué au sein des institutions et organes européens. Pour ce faire, le CEPD agit en partenariat avec le délégué à la protection des données (DPD) présent dans chaque institution et organe européen. Le DPD notifie au CEPD les opérations de traitement portant sur des données personnelles sensibles ou susceptibles de présenter d’autres risques particuliers. Le CEPD analyse ensuite ce traitement par rapport au règlement sur la protection des données et délivre un avis de contrôle préalable. Dans la majorité des cas, cet exercice donne lieu à une série de recommandations devant être appliquées par l’institution ou l’organe concerné afin d'assurer le respect des règles de protection des données.
En 2009, par exemple, le CEPD a adopté plus de cent avis de contrôle préalable, portant essentiellement sur des questions telles que les données médicales, l'évaluation du personnel, le recrutement, la gestion du temps de travail, les outils d’enregistrement téléphonique et les enquêtes de sécurité. Ces avis sont publiés sur le site web du CEPD et leur mise en œuvre fait l’objet d’un suivi systématique.
La mise en application du règlement sur la protection des données au sein de l’administration de l’UE est également soumise au strict contrôle d’un inventaire périodique d’indicateurs de performance, auquel participe la totalité des institutions et des organes européens. Outre cet exercice de contrôle général, le CEPD effectue des inspections sur place afin d’évaluer le niveau réel de conformité.
Dans sa fonction de supervision, le CEPD enquête également sur les réclamations soumises par des membres du personnel de l’UE ou par toute autre personne estimant que ses données à caractère personnel n’ont pas été traitées correctement par une institution ou un organe européen. À titre d'exemples, les réclamations peuvent porter sur des violations alléguées de la vie privée, l'accès aux données, le droit de rectification, l'effacement de données et la collecte excessive ou l'utilisation illégale de données par le responsable du traitement.
Le CEPD a également élaboré d’autres formes de supervision, telles que les conseils portant sur les mesures administratives et la rédaction de directives thématiques.
Consultation
Dans le cadre de sa fonction de consultation, le CEPD conseille la Commission européenne, le Parlement européen et le Conseil de l’Union européenne sur des questions relatives à la protection des données dans toute une série de domaines d’action. Ce rôle consultatif porte sur des propositions de nouvelle législation ainsi que sur d’autres initiatives pouvant affecter la protection des données personnelles au sein de l’UE. Cette activité se traduit généralement par un avis formel, mais le CEPD peut aussi fournir des conseils sous forme d’observations ou de documents stratégiques. Les développements technologiques ayant une incidence sur la protection des données sont également contrôlés dans le cadre de cette activité.
Parmi les questions importantes auxquelles le CEPD a récemment porté une attention particulière, citons l’accord TFTP-SWIFT sur l’accès aux informations financières, la révision de la directive "Vie privée et communications électroniques", les développements concernant le programme de Stockholm sur les politiques en matière de justice et d’affaires intérieures, l’examen des règlements de Dublin et d’Eurodac en matière d’asile et l’accès public aux documents.
Par ailleurs, le CEPD suit attentivement l’actuel réexamen du cadre juridique de la protection des données visant à moderniser la directive sur la protection des données[3] pour l’adapter à la mondialisation et aux nouveaux défis technologiques. La réalisation de cet objectif déterminant figurera en priorité à l’ordre du jour du CEPD dans les prochaines années.
Dans le cadre de sa fonction consultative, le CEPD intervient également dans des affaires portées devant la Cour de justice de l'Union européenne lorsqu’elles relèvent de ses compétences., Il est ainsi intervenu en juin 2009 dans une affaire concernant la relation entre transparence et protection des données[4].
Coopération
Le CEPD coopère avec d’autres autorités chargées de la protection des données afin de promouvoir une approche cohérente au niveau de la protection des données dans toute l’Europe.
La principale plate-forme de coopération entre les autorités chargées de la protection des données en Europe est celle du Groupe de travail de l’article 29 sur la protection des données. Le CEPD participe aux activités du Groupe, qui joue un rôle important dans l’application uniforme de la directive sur la protection des données. Le CEPD et le Groupe ont coopéré activement pour toute une série de questions, en particulier en ce qui concerne la mise en œuvre de la directive sur la protection des données et les nouveaux défis posés par les nouvelles technologies. Le CEPD a par ailleurs résolument soutenu les initiatives prises pour assurer que les flux de données internationaux respectent les principes européens en matière de protection des données.
L’une des tâches coopératives essentielles du CEPD porte sur Eurodac, où les responsabilités de supervision sont partagées avec des autorités de protection des données nationales.
Le CEPD collabore avec des autorités chargées de la protection des données au sein de l’ancien « troisième pilier » — secteur de la coopération policière et judiciaire — et avec le Groupe de travail « Police et justice ».
La coopération se traduit également par une participation à deux conférences annuelles importantes sur la protection des données : une conférence européenne qui réunit les autorités chargées de la protection des données au sein des États membres de l’UE et du Conseil de l’Europe, ainsi qu’une conférence internationale qui met en présence un vaste éventail d’experts en protection des données, issus des secteurs public et privé.
Mandats
Mandat | Contrôleur | Contrôleur adjoint |
---|---|---|
2004-2009 | Peter Hustinx | Joaquín Bayo Delgado |
2009-2014 | Peter Hustinx | Giovanni Buttarelli |
2014-2019 | Giovanni Buttarelli | Wojciech Wiewiórowski |
08/2019-12/2019 | Wojciech Wiewiórowski | Wojciech Wiewiórowski |
2020- | Wojciech Wiewiórowski |
Notes et références
- « EDPS press release »
- « L_2018295FR.01003901.xml », sur eur-lex.europa.eu (consulté le )
- (directive 95/46/CE)
- (affaire "Bavarian Lager")
Voir aussi
Textes législatifs
- Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE.
- Règlement (CE) 45/2001 du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8, 12.01.2001, p. 1).
- Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, 23.11.1995, p. 31).
Documents du CEPD
Autres documents pertinents
- Page sur la protection des données de la Commission européenne
- Site internet du Délégué à la protection des données de la Commission européenne
- Groupe de travail de l’article 29
- Page sur la protection des données du Parlement européen
- Page sur la protection des données du Conseil de l’Union européenne
- Liste des autorités nationales chargées de la protection des données