Embed Size (px)
Citation preview
Rapport annuel 2013
Reacutesumeacute
ISSN 1831-0516
Le Controcircleur Europeacuteende la Protection des Donneacutees
Rapport annuel 2013
Reacutesumeacute
Europe Direct est un service destineacute agrave vous aider agrave trouver des reacuteponses aux questions que vous vous posez sur lrsquoUnion europeacuteenne
Un numeacutero unique gratuit ()
00 800 6 7 8 9 10 11() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits
(sauf certains opeacuterateurs hocirctels ou cabines teacuteleacutephoniques)
De nombreuses autres informations sur lrsquoUnion europeacuteenne sont disponibles sur lrsquointernet via le serveur Europa (httpeuropaeu)
Luxembourg Office des publications de lrsquoUnion europeacuteenne 2014
ISBN 978-92-9242-045-1 doi1028045045
copy Union europeacuteenne 2014
Reproduction autoriseacutee moyennant mention de la source
Printed in Belgium
ImprImeacute sur papIer blanchI sans chlore eacuteleacutementaIre (ecf)
3rapport annuel 2013 reacutesumeacute
INTRODUCTION
Le preacutesent rapport couvre lrsquoanneacutee 2013 dixiegraveme anneacutee drsquoactiviteacute du Controcircleur europeacuteen de la protection des donneacutees (CEPD) en tant qursquoautoriteacute de controcircle indeacutepen-dante dont la mission est de veiller agrave ce que lors du trai-tement de donneacutees agrave caractegravere personnel les liberteacutes et droits fondamentaux des personnes physiques en parti-culier leur vie priveacutee soient respecteacutes par les institutions et organes de lrsquoUnion europeacuteenne1 Il porte eacutegalement sur la derniegravere anneacutee du mandat commun de M Peter Hus-tinx CEPD et de M Giovanni Buttarelli controcircleur adjoint en leur qualiteacute de membres de cette autoriteacute
Le regraveglement (CE) ndeg 4520012 qui constitue le cadre juridique dans lequel le CEPD opegravere deacutefinit un certain nombre de tacircches et de compeacutetences qui permettent de distinguer nos trois fonctions principales agrave savoir la super-vision la consultation et la coopeacuteration Ces fonctions continuent de servir de cadre strateacutegique pour nos acti-viteacutes et sont preacutesenteacutees dans lrsquoeacutenonceacute de notre mission
bull nous controcirclons et assurons le respect des garan-ties juridiques existantes par les institutions et organes de lrsquoUnion europeacuteenne chaque fois qursquoils traitent des informations agrave caractegravere personnel
bull nous conseillons les institutions et les organes de lrsquoUnion europeacuteenne sur toutes les questions perti-nentes et en particulier sur les propositions leacutegis-latives ayant une incidence sur la protection des informations agrave caractegravere personnel
bull nous coopeacuterons avec les autoriteacutes nationales de controcircle et avec drsquoautres organes de controcircle compeacutetents en vue drsquoameacuteliorer la coheacuterence en matiegravere de protection des informations agrave carac-tegravere personnel
bull nous assurons le suivi des nouvelles technologies qui pourraient avoir une incidence sur la protec-tion des informations agrave caractegravere personnel
1 Les termes laquoinstitutionsraquo et laquoorganesraquo qui figurent dans le regraveglement (CE) ndeg 452001 sont utiliseacutes tout au long du rapport Ils deacutesignent aussi les agences de lrsquoUnion europeacuteenne Pour consulter une liste complegravete de ces organes et institutions rendez-vous agrave lrsquoadresse sui-vante httpeuropaeuabout-euinstitutions-bodiesindex_frhtm
2 Regraveglement (CE) ndeg 452001 du Parlement europeacuteen et du Conseil du 18 deacutecembre 2000 relatif agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel par les insti-tutions et organes communautaires et agrave la libre circulation de ces don-neacutees (JO L 8 du 1212001 p 1)
bull nous intervenons devant la Cour de justice de lrsquoUnion europeacuteenne pour fournir des avis drsquoex-perts sur lrsquointerpreacutetation de la leacutegislation relative agrave la protection des donneacutees
Notre Strateacutegie 2013-2014 notre regraveglement inteacuterieur et notre plan de gestion annuel ont constitueacute des sources preacutecieuses drsquoorientation en deacutefinissant clairement la vision et la meacutethode neacutecessaires pour ameacuteliorer notre capaciteacute agrave travailler efficacement dans un climat drsquoausteacuteriteacute Notre institution est deacutesormais parvenue agrave un stade de deacutevelop-pement complet et dispose drsquoobjectifs et drsquoindicateurs de performance clairs
En ce qui concerne la supervision des institutions et organes de lrsquoUnion europeacuteenne lors du traitement de donneacutees agrave caractegravere personnel nous avons interagi avec plus de deacuteleacutegueacutes agrave la protection des donneacutees provenant de plus drsquoinstitutions et drsquoorganes que jamais De plus nous avons effectueacute plusieurs enquecirctes qui ont reacuteveacuteleacute que la plupart des institutions et organes de lrsquoUnion euro-peacuteenne y compris de nombreuses agences ont accompli des progregraves notables dans le respect du regraveglement relatif agrave la protection des donneacutees mecircme si certains devraient intensifier encore leurs efforts
En ce qui concerne la consultation les activiteacutes de conseil sur les nouvelles mesures leacutegislatives et la reacutevision du cadre juridique de lrsquoUnion en matiegravere de protection des donneacutees ont continueacute de figurer parmi nos principales prioriteacutes La strateacutegie numeacuterique et les risques pour la vie priveacutee associeacutes aux nouvelles technologies ont eacutega-lement revecirctu une importance particuliegravere en 2013 Tou-tefois lrsquoentreacutee en vigueur du programme de Stockholm dans lrsquoespace de liberteacute de seacutecuriteacute et de justice et les questions lieacutees au marcheacute inteacuterieur comme la reacuteforme du secteur financier ou encore les deacutebats relatifs agrave la santeacute publique et agrave la protection des consommateurs ont eacutegale-ment eu des reacutepercussions sur la protection des donneacutees Nous avons par ailleurs renforceacute notre coopeacuteration avec drsquoautres autoriteacutes de controcircle en particulier concernant les systegravemes drsquoinformation agrave grande eacutechelle
4
FAITS MARQUANTS DE LrsquoANNEacuteE 2013
Dix ans apregraves sa creacuteation le CEPD est une organisation bien deacuteveloppeacutee qui est en mesure de faire face aux nom-breux deacutefis qursquoune autoriteacute chargeacutee de la protection des donneacutees doit relever dans un environnement tregraves dyna-mique En 2013 notre principal deacutefi opeacuterationnel a eacuteteacute de poursuivre le deacuteveloppement de nos activiteacutes tant au niveau de lrsquoampleur que de la porteacutee malgreacute la persistance des restrictions budgeacutetaires lieacutees agrave la crise financiegravere
bull Controcircles preacutealables
Nous avons observeacute une augmentation du nombre de notifications de controcircle preacutealable reccedilues dans le cadre de nos activiteacutes de supervision et de mise en applica-tion Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutealable ex post concernant les opeacuterations de traitement deacutejagrave en cours La hausse du nombre drsquoavis eacutemis durant lrsquoanneacutee reacutesulte eacutegalement du nombre eacuteleveacute de notifications reccedilues Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacuterieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
bull Culture de protection des donneacutees
Afin de garantir que les institutions et organes de lrsquoUnion europeacuteenne soient conscients de leurs obligations et qursquoils assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees nous avons continueacute agrave fournir des orientations et des formations aux responsables du traitement aux deacuteleacutegueacutes agrave la protection des donneacutees (DPD) et aux coordinateurs de la protection des donneacutees (CPD) En 2013 cet objectif a eacuteteacute principalement accompli par la publication de lignes directrices en matiegravere de mar-cheacutes publics de subventions et drsquoexperts externes et par lrsquoorganisation drsquoune formation de base destineacutee aux nou-veaux DPD sur la proceacutedure de controcircle preacutealable ainsi que drsquoune formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion Nos initiatives de sensi-bilisation dans les institutions et organes de lrsquoUnion euro-peacuteenne ont notamment consisteacute agrave organiser des ateliers pour les responsables du traitement agrave la Fondation euro-peacuteenne pour la formation (ETF) et agrave lrsquoAgence europeacuteenne de deacutefense (AED) ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectronique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par les institutions et organes de lrsquoUnion europeacuteenne
bull Enquecirctes et politiques
Les reacutesultats de notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) lanceacute le 17 juin 2013 dans le cadre de nos activiteacutes de controcircle de la conformiteacute seront publieacutes deacutebut 2014 En janvier 2013 nous avons eacutegalement publieacute un rapport preacutesentant les reacutesultats de lrsquoenquecircte relative au statut des coordinateurs de la protection des donneacutees agrave la Commission europeacuteenne
En 2013 nous avons adopteacute notre politique drsquoinspection qui deacutefinit les eacuteleacutements principaux de la proceacutedure drsquoinspection
du CEPD fournit des orientations agrave lrsquoensemble des acteurs concerneacutes et garantit la transparence vis-agrave-vis des parties prenantes Sur la base des expeacuteriences tireacutees des inspections anteacuterieures nous avons eacutelaboreacute et adopteacute un manuel drsquoins-pection interne complet agrave lrsquointention des membres du per-sonnel du CEPD chargeacutes drsquoeffectuer les inspections
bull Porteacutee de la consultation
Ces derniegraveres anneacutees le nombre drsquoavis eacutemis par le CEPD concernant des propositions de textes leacutegislatifs de lrsquoUnion et de documents y affeacuterents a connu une hausse constante En 2013 ce nombre a diminueacute nous avons eacutemis 20 avis leacutegislatifs et 13 seacuteries drsquoobservations formelles et nous avons adresseacute 33 conseils informels agrave la Commission ou agrave drsquoautres institutions Deux eacuteleacutements principaux expliquent cette diminution le fait que nos efforts visant agrave privileacutegier les prioriteacutes strateacutegiques ont porteacute leurs fruits et le fait que de nombreuses ressources ont eacuteteacute consacreacutees agrave la reacuteforme du cadre relatif agrave la protection des donneacutees
bull Reacutevision du cadre juridique relatif agrave la protection des donneacutees
Tout au long de lrsquoanneacutee 2013 nous sommes resteacutes eacutetroi-tement associeacutes au travail en cours concernant la reacuteforme du cadre europeacuteen relatif agrave la protection des donneacutees Le 15 mars 2013 nous avons adresseacute au Parlement europeacuteen agrave la Commission et au Conseil des observations suppleacute-mentaires au sujet de la reacuteforme Nous avons eacutegalement continueacute de participer aux deacutebats qui ont suivi tant au Parlement qursquoau Conseil
bull Strateacutegie numeacuterique et technologie
Nous avons abordeacute le sujet de la strateacutegie numeacuterique et de lrsquointernet agrave plusieurs reprises notamment dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEurope faire du numeacute-rique un moteur de la croissance europeacuteenneraquo dans notre avis relatif au marcheacute unique europeacuteen des communica-tions eacutelectroniques et dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacuteation et valeursraquo
bull Espace de liberteacute de seacutecuriteacute et de justice
En ce qui concerne lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) nous avons eacutemis des avis concernant Euro-pol la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute les frontiegraveres intelligentes lrsquoaccord UE-Canada relatif aux dossiers passagers (PNR) ainsi que le modegravele europeacuteen drsquoeacutechange drsquoinformations
bull Coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees
Dans le domaine de la coopeacuteration nous avons continueacute de contribuer activement aux activiteacutes du groupe de tra-vail laquoArticle 29raquo Par ailleurs nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rapporteur ou corapporteur sur les
5rapport annuel 2013 reacutesumeacute
avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegi-time (sous-groupe laquoDispositions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdmi-nistration en ligneraquo)
bull Supervision conjointe
En 2013 nous avons fourni des services de secreacutetariat au nouveau groupe de coordination de la supervision du sys-tegraveme drsquoinformation Schengen de deuxiegraveme geacuteneacuteration (SIS II) et nous avons continueacute de preacutesider les groupes de coordination de la supervision drsquoEURODAC VIS et SID
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle hori-zontales et coheacuterentes concernant les systegravemes drsquoinfor-mation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coor-dination de la supervision du systegraveme drsquoinformation du marcheacute inteacuterieur (IMI) Nous avons consulteacute les autoriteacutes chargeacutees de la protection des donneacutees (APD) et la Com-mission pour faire le point sur la situation et sur les eacutevo-lutions du regraveglement IMI afin drsquoorganiser la premiegravere reacuteunion du groupe en 2014
bull Politique IT
Eu eacutegard agrave notre politique en matiegravere de technologies de lrsquoinformation (IT) nous avons contribueacute agrave plusieurs avis sur des propositions de la Commission qui revecirctent une dimension strateacutegique pour lrsquoavenir de la socieacuteteacute numeacute-rique en Europe Notre expertise IT nous a eacutegalement conduits agrave effectuer une visite aupregraves de lrsquoagence euro-peacuteenne pour la gestion opeacuterationnelle des systegravemes drsquoin-formation agrave grande eacutechelle dans le contexte de la migration du SIS II Cette expertise srsquoest aveacutereacutee tregraves utile dans nos acti-viteacutes de supervision y compris dans le cadre des reacuteclama-tions des controcircles preacutealables et des inspections
Cette expertise IT a favoriseacute nos eacutechanges avec le person-nel compeacutetent de lrsquoadministration de lrsquoUnion dans le cadre de lrsquoeacutelaboration de nos lignes directrices relatives agrave la pro-tection des donneacutees et agrave la technologie ces eacutechanges ont amorceacute des discussions au sein des institutions de lrsquoUnion concernant lrsquoapproche geacuteneacuterale qursquoelles adoptent agrave lrsquoeacutegard de lrsquoeacutevaluation des risques et des mesures de seacutecu-riteacute compte tenu des faiblesses aveacutereacutees de certains outils cryptographiques et de seacutecuriteacute couramment utiliseacutes
bull Information et communication
Dans le domaine de la communication nous avons ren-forceacute la visibiliteacute du CEPD au niveau institutionnel dans lrsquoexercice de nos fonctions de supervision de consultation et de coopeacuteration Nous utilisons plusieurs indicateurs tels que le nombre de demandes drsquoinformations soumises par les citoyens le nombre de demandes de renseigne-ment provenant des meacutedias et le nombre de demandes drsquoentretien (relations avec la presse) le nombre drsquoabon-neacutes agrave notre newsletter le nombre de personnes suivant le CEPD sur Twitter ainsi que le nombre drsquoinvitations agrave venir srsquoexprimer agrave des confeacuterences et le trafic sur le site Internet Tous ces indicateurs tendent agrave montrer que nous sommes de plus en plus perccedilus comme un point de reacutefeacuterence pour les questions lieacutees agrave la protection des donneacutees au niveau de lrsquoUnion europeacuteenne
Le nombre de visites sur le site web du CEPD a connu une hausse constante au cours de lrsquoanneacutee (63 par rap-port agrave 2012) et le nombre de visites drsquoeacutetude a augmenteacute (17 groupes contre deux en 2012) tout comme le nombre de demandes drsquoinformations et de conseils soumises par des particuliers (176 demandes eacutecrites soit une augmen-tation de 51 par rapport agrave 2012) En deacutecembre nous avons creacuteeacute une page speacutecifiquement consacreacutee agrave notre organisation sur LinkedIn ce qui constitue un autre moyen de promouvoir le CEPD en tant qursquoinstitution de renforcer notre preacutesence en ligne et drsquoameacuteliorer notre visibiliteacute
bull Organisation interne
Agrave la suite du deacutepart du chef du secteur laquoOpeacuterations plan-ning et assistanceraquo apregraves la mise en service de notre sys-tegraveme de gestion des dossiers en octobre 2013 nous avons restructureacute notre organigramme de sorte que lrsquoeacutequipe de gestion des dossiers rend deacutesormais compte au directeur
Conformeacutement aux recommandations du service drsquoaudit interne et afin de renforcer lrsquoefficaciteacute la fonction de coordi-nateur du controcircle interne a eacuteteacute seacutepareacutee de lrsquoeacutequipe chargeacutee des ressources humaines du budget et de lrsquoadministration et elle rend deacutesormais eacutegalement compte au directeur
bull Gestion des ressources
En 2013 nous sommes parvenus agrave accroicirctre notre taux drsquoexeacutecution du budget Neacuteanmoins le reacutesultat final nrsquoa pas reacutepondu agrave nos attentes en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du person-nel de lrsquoUnion europeacuteenne Cette deacutecision inattendue a eacuteteacute adopteacutee tard dans lrsquoanneacutee ce qui nrsquoa laisseacute qursquoune tregraves faible marge de manœuvre pour organiser un redeacuteploie-ment En outre le fait que le Conseil refuse drsquoenvisager tout transfert opeacutereacute agrave partir du budget des salaires vers drsquoautres lignes budgeacutetaires a reacuteduit encore davantage la marge de manœuvre Si le Conseil et le Parlement eacutetaient parvenus agrave un accord avant la fin de lrsquoanneacutee comme le souhaitait la Commission le taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 )
Chiffres cleacutes du CEPD en 2013
Icirc 91 avis de controcircle preacutealable adopteacutes 21 avis sur lrsquoabsence de controcircle preacutealable
Icirc 78 reacuteclamations reccedilues dont 30 recevables
Icirc 37 consultations reccedilues concernant des mesures administratives
Icirc 8 inspections sur place (y compris 2 visites drsquoinformation) et 3 visites effectueacutees
Icirc 1 ligne directrice publieacutee concernant le traitement des informations agrave caractegravere personnel dans le domaine des marcheacutes publics
Icirc 20 avis leacutegislatifs publieacutes
Icirc 13 seacuteries drsquoobservations formelles publieacutees
Icirc 33 seacuteries drsquoobservations informelles publieacutees
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
Rapport annuel 2013
Reacutesumeacute
Europe Direct est un service destineacute agrave vous aider agrave trouver des reacuteponses aux questions que vous vous posez sur lrsquoUnion europeacuteenne
Un numeacutero unique gratuit ()
00 800 6 7 8 9 10 11() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits
(sauf certains opeacuterateurs hocirctels ou cabines teacuteleacutephoniques)
De nombreuses autres informations sur lrsquoUnion europeacuteenne sont disponibles sur lrsquointernet via le serveur Europa (httpeuropaeu)
Luxembourg Office des publications de lrsquoUnion europeacuteenne 2014
ISBN 978-92-9242-045-1 doi1028045045
copy Union europeacuteenne 2014
Reproduction autoriseacutee moyennant mention de la source
Printed in Belgium
ImprImeacute sur papIer blanchI sans chlore eacuteleacutementaIre (ecf)
3rapport annuel 2013 reacutesumeacute
INTRODUCTION
Le preacutesent rapport couvre lrsquoanneacutee 2013 dixiegraveme anneacutee drsquoactiviteacute du Controcircleur europeacuteen de la protection des donneacutees (CEPD) en tant qursquoautoriteacute de controcircle indeacutepen-dante dont la mission est de veiller agrave ce que lors du trai-tement de donneacutees agrave caractegravere personnel les liberteacutes et droits fondamentaux des personnes physiques en parti-culier leur vie priveacutee soient respecteacutes par les institutions et organes de lrsquoUnion europeacuteenne1 Il porte eacutegalement sur la derniegravere anneacutee du mandat commun de M Peter Hus-tinx CEPD et de M Giovanni Buttarelli controcircleur adjoint en leur qualiteacute de membres de cette autoriteacute
Le regraveglement (CE) ndeg 4520012 qui constitue le cadre juridique dans lequel le CEPD opegravere deacutefinit un certain nombre de tacircches et de compeacutetences qui permettent de distinguer nos trois fonctions principales agrave savoir la super-vision la consultation et la coopeacuteration Ces fonctions continuent de servir de cadre strateacutegique pour nos acti-viteacutes et sont preacutesenteacutees dans lrsquoeacutenonceacute de notre mission
bull nous controcirclons et assurons le respect des garan-ties juridiques existantes par les institutions et organes de lrsquoUnion europeacuteenne chaque fois qursquoils traitent des informations agrave caractegravere personnel
bull nous conseillons les institutions et les organes de lrsquoUnion europeacuteenne sur toutes les questions perti-nentes et en particulier sur les propositions leacutegis-latives ayant une incidence sur la protection des informations agrave caractegravere personnel
bull nous coopeacuterons avec les autoriteacutes nationales de controcircle et avec drsquoautres organes de controcircle compeacutetents en vue drsquoameacuteliorer la coheacuterence en matiegravere de protection des informations agrave carac-tegravere personnel
bull nous assurons le suivi des nouvelles technologies qui pourraient avoir une incidence sur la protec-tion des informations agrave caractegravere personnel
1 Les termes laquoinstitutionsraquo et laquoorganesraquo qui figurent dans le regraveglement (CE) ndeg 452001 sont utiliseacutes tout au long du rapport Ils deacutesignent aussi les agences de lrsquoUnion europeacuteenne Pour consulter une liste complegravete de ces organes et institutions rendez-vous agrave lrsquoadresse sui-vante httpeuropaeuabout-euinstitutions-bodiesindex_frhtm
2 Regraveglement (CE) ndeg 452001 du Parlement europeacuteen et du Conseil du 18 deacutecembre 2000 relatif agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel par les insti-tutions et organes communautaires et agrave la libre circulation de ces don-neacutees (JO L 8 du 1212001 p 1)
bull nous intervenons devant la Cour de justice de lrsquoUnion europeacuteenne pour fournir des avis drsquoex-perts sur lrsquointerpreacutetation de la leacutegislation relative agrave la protection des donneacutees
Notre Strateacutegie 2013-2014 notre regraveglement inteacuterieur et notre plan de gestion annuel ont constitueacute des sources preacutecieuses drsquoorientation en deacutefinissant clairement la vision et la meacutethode neacutecessaires pour ameacuteliorer notre capaciteacute agrave travailler efficacement dans un climat drsquoausteacuteriteacute Notre institution est deacutesormais parvenue agrave un stade de deacutevelop-pement complet et dispose drsquoobjectifs et drsquoindicateurs de performance clairs
En ce qui concerne la supervision des institutions et organes de lrsquoUnion europeacuteenne lors du traitement de donneacutees agrave caractegravere personnel nous avons interagi avec plus de deacuteleacutegueacutes agrave la protection des donneacutees provenant de plus drsquoinstitutions et drsquoorganes que jamais De plus nous avons effectueacute plusieurs enquecirctes qui ont reacuteveacuteleacute que la plupart des institutions et organes de lrsquoUnion euro-peacuteenne y compris de nombreuses agences ont accompli des progregraves notables dans le respect du regraveglement relatif agrave la protection des donneacutees mecircme si certains devraient intensifier encore leurs efforts
En ce qui concerne la consultation les activiteacutes de conseil sur les nouvelles mesures leacutegislatives et la reacutevision du cadre juridique de lrsquoUnion en matiegravere de protection des donneacutees ont continueacute de figurer parmi nos principales prioriteacutes La strateacutegie numeacuterique et les risques pour la vie priveacutee associeacutes aux nouvelles technologies ont eacutega-lement revecirctu une importance particuliegravere en 2013 Tou-tefois lrsquoentreacutee en vigueur du programme de Stockholm dans lrsquoespace de liberteacute de seacutecuriteacute et de justice et les questions lieacutees au marcheacute inteacuterieur comme la reacuteforme du secteur financier ou encore les deacutebats relatifs agrave la santeacute publique et agrave la protection des consommateurs ont eacutegale-ment eu des reacutepercussions sur la protection des donneacutees Nous avons par ailleurs renforceacute notre coopeacuteration avec drsquoautres autoriteacutes de controcircle en particulier concernant les systegravemes drsquoinformation agrave grande eacutechelle
4
FAITS MARQUANTS DE LrsquoANNEacuteE 2013
Dix ans apregraves sa creacuteation le CEPD est une organisation bien deacuteveloppeacutee qui est en mesure de faire face aux nom-breux deacutefis qursquoune autoriteacute chargeacutee de la protection des donneacutees doit relever dans un environnement tregraves dyna-mique En 2013 notre principal deacutefi opeacuterationnel a eacuteteacute de poursuivre le deacuteveloppement de nos activiteacutes tant au niveau de lrsquoampleur que de la porteacutee malgreacute la persistance des restrictions budgeacutetaires lieacutees agrave la crise financiegravere
bull Controcircles preacutealables
Nous avons observeacute une augmentation du nombre de notifications de controcircle preacutealable reccedilues dans le cadre de nos activiteacutes de supervision et de mise en applica-tion Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutealable ex post concernant les opeacuterations de traitement deacutejagrave en cours La hausse du nombre drsquoavis eacutemis durant lrsquoanneacutee reacutesulte eacutegalement du nombre eacuteleveacute de notifications reccedilues Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacuterieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
bull Culture de protection des donneacutees
Afin de garantir que les institutions et organes de lrsquoUnion europeacuteenne soient conscients de leurs obligations et qursquoils assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees nous avons continueacute agrave fournir des orientations et des formations aux responsables du traitement aux deacuteleacutegueacutes agrave la protection des donneacutees (DPD) et aux coordinateurs de la protection des donneacutees (CPD) En 2013 cet objectif a eacuteteacute principalement accompli par la publication de lignes directrices en matiegravere de mar-cheacutes publics de subventions et drsquoexperts externes et par lrsquoorganisation drsquoune formation de base destineacutee aux nou-veaux DPD sur la proceacutedure de controcircle preacutealable ainsi que drsquoune formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion Nos initiatives de sensi-bilisation dans les institutions et organes de lrsquoUnion euro-peacuteenne ont notamment consisteacute agrave organiser des ateliers pour les responsables du traitement agrave la Fondation euro-peacuteenne pour la formation (ETF) et agrave lrsquoAgence europeacuteenne de deacutefense (AED) ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectronique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par les institutions et organes de lrsquoUnion europeacuteenne
bull Enquecirctes et politiques
Les reacutesultats de notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) lanceacute le 17 juin 2013 dans le cadre de nos activiteacutes de controcircle de la conformiteacute seront publieacutes deacutebut 2014 En janvier 2013 nous avons eacutegalement publieacute un rapport preacutesentant les reacutesultats de lrsquoenquecircte relative au statut des coordinateurs de la protection des donneacutees agrave la Commission europeacuteenne
En 2013 nous avons adopteacute notre politique drsquoinspection qui deacutefinit les eacuteleacutements principaux de la proceacutedure drsquoinspection
du CEPD fournit des orientations agrave lrsquoensemble des acteurs concerneacutes et garantit la transparence vis-agrave-vis des parties prenantes Sur la base des expeacuteriences tireacutees des inspections anteacuterieures nous avons eacutelaboreacute et adopteacute un manuel drsquoins-pection interne complet agrave lrsquointention des membres du per-sonnel du CEPD chargeacutes drsquoeffectuer les inspections
bull Porteacutee de la consultation
Ces derniegraveres anneacutees le nombre drsquoavis eacutemis par le CEPD concernant des propositions de textes leacutegislatifs de lrsquoUnion et de documents y affeacuterents a connu une hausse constante En 2013 ce nombre a diminueacute nous avons eacutemis 20 avis leacutegislatifs et 13 seacuteries drsquoobservations formelles et nous avons adresseacute 33 conseils informels agrave la Commission ou agrave drsquoautres institutions Deux eacuteleacutements principaux expliquent cette diminution le fait que nos efforts visant agrave privileacutegier les prioriteacutes strateacutegiques ont porteacute leurs fruits et le fait que de nombreuses ressources ont eacuteteacute consacreacutees agrave la reacuteforme du cadre relatif agrave la protection des donneacutees
bull Reacutevision du cadre juridique relatif agrave la protection des donneacutees
Tout au long de lrsquoanneacutee 2013 nous sommes resteacutes eacutetroi-tement associeacutes au travail en cours concernant la reacuteforme du cadre europeacuteen relatif agrave la protection des donneacutees Le 15 mars 2013 nous avons adresseacute au Parlement europeacuteen agrave la Commission et au Conseil des observations suppleacute-mentaires au sujet de la reacuteforme Nous avons eacutegalement continueacute de participer aux deacutebats qui ont suivi tant au Parlement qursquoau Conseil
bull Strateacutegie numeacuterique et technologie
Nous avons abordeacute le sujet de la strateacutegie numeacuterique et de lrsquointernet agrave plusieurs reprises notamment dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEurope faire du numeacute-rique un moteur de la croissance europeacuteenneraquo dans notre avis relatif au marcheacute unique europeacuteen des communica-tions eacutelectroniques et dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacuteation et valeursraquo
bull Espace de liberteacute de seacutecuriteacute et de justice
En ce qui concerne lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) nous avons eacutemis des avis concernant Euro-pol la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute les frontiegraveres intelligentes lrsquoaccord UE-Canada relatif aux dossiers passagers (PNR) ainsi que le modegravele europeacuteen drsquoeacutechange drsquoinformations
bull Coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees
Dans le domaine de la coopeacuteration nous avons continueacute de contribuer activement aux activiteacutes du groupe de tra-vail laquoArticle 29raquo Par ailleurs nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rapporteur ou corapporteur sur les
5rapport annuel 2013 reacutesumeacute
avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegi-time (sous-groupe laquoDispositions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdmi-nistration en ligneraquo)
bull Supervision conjointe
En 2013 nous avons fourni des services de secreacutetariat au nouveau groupe de coordination de la supervision du sys-tegraveme drsquoinformation Schengen de deuxiegraveme geacuteneacuteration (SIS II) et nous avons continueacute de preacutesider les groupes de coordination de la supervision drsquoEURODAC VIS et SID
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle hori-zontales et coheacuterentes concernant les systegravemes drsquoinfor-mation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coor-dination de la supervision du systegraveme drsquoinformation du marcheacute inteacuterieur (IMI) Nous avons consulteacute les autoriteacutes chargeacutees de la protection des donneacutees (APD) et la Com-mission pour faire le point sur la situation et sur les eacutevo-lutions du regraveglement IMI afin drsquoorganiser la premiegravere reacuteunion du groupe en 2014
bull Politique IT
Eu eacutegard agrave notre politique en matiegravere de technologies de lrsquoinformation (IT) nous avons contribueacute agrave plusieurs avis sur des propositions de la Commission qui revecirctent une dimension strateacutegique pour lrsquoavenir de la socieacuteteacute numeacute-rique en Europe Notre expertise IT nous a eacutegalement conduits agrave effectuer une visite aupregraves de lrsquoagence euro-peacuteenne pour la gestion opeacuterationnelle des systegravemes drsquoin-formation agrave grande eacutechelle dans le contexte de la migration du SIS II Cette expertise srsquoest aveacutereacutee tregraves utile dans nos acti-viteacutes de supervision y compris dans le cadre des reacuteclama-tions des controcircles preacutealables et des inspections
Cette expertise IT a favoriseacute nos eacutechanges avec le person-nel compeacutetent de lrsquoadministration de lrsquoUnion dans le cadre de lrsquoeacutelaboration de nos lignes directrices relatives agrave la pro-tection des donneacutees et agrave la technologie ces eacutechanges ont amorceacute des discussions au sein des institutions de lrsquoUnion concernant lrsquoapproche geacuteneacuterale qursquoelles adoptent agrave lrsquoeacutegard de lrsquoeacutevaluation des risques et des mesures de seacutecu-riteacute compte tenu des faiblesses aveacutereacutees de certains outils cryptographiques et de seacutecuriteacute couramment utiliseacutes
bull Information et communication
Dans le domaine de la communication nous avons ren-forceacute la visibiliteacute du CEPD au niveau institutionnel dans lrsquoexercice de nos fonctions de supervision de consultation et de coopeacuteration Nous utilisons plusieurs indicateurs tels que le nombre de demandes drsquoinformations soumises par les citoyens le nombre de demandes de renseigne-ment provenant des meacutedias et le nombre de demandes drsquoentretien (relations avec la presse) le nombre drsquoabon-neacutes agrave notre newsletter le nombre de personnes suivant le CEPD sur Twitter ainsi que le nombre drsquoinvitations agrave venir srsquoexprimer agrave des confeacuterences et le trafic sur le site Internet Tous ces indicateurs tendent agrave montrer que nous sommes de plus en plus perccedilus comme un point de reacutefeacuterence pour les questions lieacutees agrave la protection des donneacutees au niveau de lrsquoUnion europeacuteenne
Le nombre de visites sur le site web du CEPD a connu une hausse constante au cours de lrsquoanneacutee (63 par rap-port agrave 2012) et le nombre de visites drsquoeacutetude a augmenteacute (17 groupes contre deux en 2012) tout comme le nombre de demandes drsquoinformations et de conseils soumises par des particuliers (176 demandes eacutecrites soit une augmen-tation de 51 par rapport agrave 2012) En deacutecembre nous avons creacuteeacute une page speacutecifiquement consacreacutee agrave notre organisation sur LinkedIn ce qui constitue un autre moyen de promouvoir le CEPD en tant qursquoinstitution de renforcer notre preacutesence en ligne et drsquoameacuteliorer notre visibiliteacute
bull Organisation interne
Agrave la suite du deacutepart du chef du secteur laquoOpeacuterations plan-ning et assistanceraquo apregraves la mise en service de notre sys-tegraveme de gestion des dossiers en octobre 2013 nous avons restructureacute notre organigramme de sorte que lrsquoeacutequipe de gestion des dossiers rend deacutesormais compte au directeur
Conformeacutement aux recommandations du service drsquoaudit interne et afin de renforcer lrsquoefficaciteacute la fonction de coordi-nateur du controcircle interne a eacuteteacute seacutepareacutee de lrsquoeacutequipe chargeacutee des ressources humaines du budget et de lrsquoadministration et elle rend deacutesormais eacutegalement compte au directeur
bull Gestion des ressources
En 2013 nous sommes parvenus agrave accroicirctre notre taux drsquoexeacutecution du budget Neacuteanmoins le reacutesultat final nrsquoa pas reacutepondu agrave nos attentes en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du person-nel de lrsquoUnion europeacuteenne Cette deacutecision inattendue a eacuteteacute adopteacutee tard dans lrsquoanneacutee ce qui nrsquoa laisseacute qursquoune tregraves faible marge de manœuvre pour organiser un redeacuteploie-ment En outre le fait que le Conseil refuse drsquoenvisager tout transfert opeacutereacute agrave partir du budget des salaires vers drsquoautres lignes budgeacutetaires a reacuteduit encore davantage la marge de manœuvre Si le Conseil et le Parlement eacutetaient parvenus agrave un accord avant la fin de lrsquoanneacutee comme le souhaitait la Commission le taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 )
Chiffres cleacutes du CEPD en 2013
Icirc 91 avis de controcircle preacutealable adopteacutes 21 avis sur lrsquoabsence de controcircle preacutealable
Icirc 78 reacuteclamations reccedilues dont 30 recevables
Icirc 37 consultations reccedilues concernant des mesures administratives
Icirc 8 inspections sur place (y compris 2 visites drsquoinformation) et 3 visites effectueacutees
Icirc 1 ligne directrice publieacutee concernant le traitement des informations agrave caractegravere personnel dans le domaine des marcheacutes publics
Icirc 20 avis leacutegislatifs publieacutes
Icirc 13 seacuteries drsquoobservations formelles publieacutees
Icirc 33 seacuteries drsquoobservations informelles publieacutees
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
Europe Direct est un service destineacute agrave vous aider agrave trouver des reacuteponses aux questions que vous vous posez sur lrsquoUnion europeacuteenne
Un numeacutero unique gratuit ()
00 800 6 7 8 9 10 11() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits
(sauf certains opeacuterateurs hocirctels ou cabines teacuteleacutephoniques)
De nombreuses autres informations sur lrsquoUnion europeacuteenne sont disponibles sur lrsquointernet via le serveur Europa (httpeuropaeu)
Luxembourg Office des publications de lrsquoUnion europeacuteenne 2014
ISBN 978-92-9242-045-1 doi1028045045
copy Union europeacuteenne 2014
Reproduction autoriseacutee moyennant mention de la source
Printed in Belgium
ImprImeacute sur papIer blanchI sans chlore eacuteleacutementaIre (ecf)
3rapport annuel 2013 reacutesumeacute
INTRODUCTION
Le preacutesent rapport couvre lrsquoanneacutee 2013 dixiegraveme anneacutee drsquoactiviteacute du Controcircleur europeacuteen de la protection des donneacutees (CEPD) en tant qursquoautoriteacute de controcircle indeacutepen-dante dont la mission est de veiller agrave ce que lors du trai-tement de donneacutees agrave caractegravere personnel les liberteacutes et droits fondamentaux des personnes physiques en parti-culier leur vie priveacutee soient respecteacutes par les institutions et organes de lrsquoUnion europeacuteenne1 Il porte eacutegalement sur la derniegravere anneacutee du mandat commun de M Peter Hus-tinx CEPD et de M Giovanni Buttarelli controcircleur adjoint en leur qualiteacute de membres de cette autoriteacute
Le regraveglement (CE) ndeg 4520012 qui constitue le cadre juridique dans lequel le CEPD opegravere deacutefinit un certain nombre de tacircches et de compeacutetences qui permettent de distinguer nos trois fonctions principales agrave savoir la super-vision la consultation et la coopeacuteration Ces fonctions continuent de servir de cadre strateacutegique pour nos acti-viteacutes et sont preacutesenteacutees dans lrsquoeacutenonceacute de notre mission
bull nous controcirclons et assurons le respect des garan-ties juridiques existantes par les institutions et organes de lrsquoUnion europeacuteenne chaque fois qursquoils traitent des informations agrave caractegravere personnel
bull nous conseillons les institutions et les organes de lrsquoUnion europeacuteenne sur toutes les questions perti-nentes et en particulier sur les propositions leacutegis-latives ayant une incidence sur la protection des informations agrave caractegravere personnel
bull nous coopeacuterons avec les autoriteacutes nationales de controcircle et avec drsquoautres organes de controcircle compeacutetents en vue drsquoameacuteliorer la coheacuterence en matiegravere de protection des informations agrave carac-tegravere personnel
bull nous assurons le suivi des nouvelles technologies qui pourraient avoir une incidence sur la protec-tion des informations agrave caractegravere personnel
1 Les termes laquoinstitutionsraquo et laquoorganesraquo qui figurent dans le regraveglement (CE) ndeg 452001 sont utiliseacutes tout au long du rapport Ils deacutesignent aussi les agences de lrsquoUnion europeacuteenne Pour consulter une liste complegravete de ces organes et institutions rendez-vous agrave lrsquoadresse sui-vante httpeuropaeuabout-euinstitutions-bodiesindex_frhtm
2 Regraveglement (CE) ndeg 452001 du Parlement europeacuteen et du Conseil du 18 deacutecembre 2000 relatif agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel par les insti-tutions et organes communautaires et agrave la libre circulation de ces don-neacutees (JO L 8 du 1212001 p 1)
bull nous intervenons devant la Cour de justice de lrsquoUnion europeacuteenne pour fournir des avis drsquoex-perts sur lrsquointerpreacutetation de la leacutegislation relative agrave la protection des donneacutees
Notre Strateacutegie 2013-2014 notre regraveglement inteacuterieur et notre plan de gestion annuel ont constitueacute des sources preacutecieuses drsquoorientation en deacutefinissant clairement la vision et la meacutethode neacutecessaires pour ameacuteliorer notre capaciteacute agrave travailler efficacement dans un climat drsquoausteacuteriteacute Notre institution est deacutesormais parvenue agrave un stade de deacutevelop-pement complet et dispose drsquoobjectifs et drsquoindicateurs de performance clairs
En ce qui concerne la supervision des institutions et organes de lrsquoUnion europeacuteenne lors du traitement de donneacutees agrave caractegravere personnel nous avons interagi avec plus de deacuteleacutegueacutes agrave la protection des donneacutees provenant de plus drsquoinstitutions et drsquoorganes que jamais De plus nous avons effectueacute plusieurs enquecirctes qui ont reacuteveacuteleacute que la plupart des institutions et organes de lrsquoUnion euro-peacuteenne y compris de nombreuses agences ont accompli des progregraves notables dans le respect du regraveglement relatif agrave la protection des donneacutees mecircme si certains devraient intensifier encore leurs efforts
En ce qui concerne la consultation les activiteacutes de conseil sur les nouvelles mesures leacutegislatives et la reacutevision du cadre juridique de lrsquoUnion en matiegravere de protection des donneacutees ont continueacute de figurer parmi nos principales prioriteacutes La strateacutegie numeacuterique et les risques pour la vie priveacutee associeacutes aux nouvelles technologies ont eacutega-lement revecirctu une importance particuliegravere en 2013 Tou-tefois lrsquoentreacutee en vigueur du programme de Stockholm dans lrsquoespace de liberteacute de seacutecuriteacute et de justice et les questions lieacutees au marcheacute inteacuterieur comme la reacuteforme du secteur financier ou encore les deacutebats relatifs agrave la santeacute publique et agrave la protection des consommateurs ont eacutegale-ment eu des reacutepercussions sur la protection des donneacutees Nous avons par ailleurs renforceacute notre coopeacuteration avec drsquoautres autoriteacutes de controcircle en particulier concernant les systegravemes drsquoinformation agrave grande eacutechelle
4
FAITS MARQUANTS DE LrsquoANNEacuteE 2013
Dix ans apregraves sa creacuteation le CEPD est une organisation bien deacuteveloppeacutee qui est en mesure de faire face aux nom-breux deacutefis qursquoune autoriteacute chargeacutee de la protection des donneacutees doit relever dans un environnement tregraves dyna-mique En 2013 notre principal deacutefi opeacuterationnel a eacuteteacute de poursuivre le deacuteveloppement de nos activiteacutes tant au niveau de lrsquoampleur que de la porteacutee malgreacute la persistance des restrictions budgeacutetaires lieacutees agrave la crise financiegravere
bull Controcircles preacutealables
Nous avons observeacute une augmentation du nombre de notifications de controcircle preacutealable reccedilues dans le cadre de nos activiteacutes de supervision et de mise en applica-tion Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutealable ex post concernant les opeacuterations de traitement deacutejagrave en cours La hausse du nombre drsquoavis eacutemis durant lrsquoanneacutee reacutesulte eacutegalement du nombre eacuteleveacute de notifications reccedilues Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacuterieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
bull Culture de protection des donneacutees
Afin de garantir que les institutions et organes de lrsquoUnion europeacuteenne soient conscients de leurs obligations et qursquoils assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees nous avons continueacute agrave fournir des orientations et des formations aux responsables du traitement aux deacuteleacutegueacutes agrave la protection des donneacutees (DPD) et aux coordinateurs de la protection des donneacutees (CPD) En 2013 cet objectif a eacuteteacute principalement accompli par la publication de lignes directrices en matiegravere de mar-cheacutes publics de subventions et drsquoexperts externes et par lrsquoorganisation drsquoune formation de base destineacutee aux nou-veaux DPD sur la proceacutedure de controcircle preacutealable ainsi que drsquoune formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion Nos initiatives de sensi-bilisation dans les institutions et organes de lrsquoUnion euro-peacuteenne ont notamment consisteacute agrave organiser des ateliers pour les responsables du traitement agrave la Fondation euro-peacuteenne pour la formation (ETF) et agrave lrsquoAgence europeacuteenne de deacutefense (AED) ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectronique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par les institutions et organes de lrsquoUnion europeacuteenne
bull Enquecirctes et politiques
Les reacutesultats de notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) lanceacute le 17 juin 2013 dans le cadre de nos activiteacutes de controcircle de la conformiteacute seront publieacutes deacutebut 2014 En janvier 2013 nous avons eacutegalement publieacute un rapport preacutesentant les reacutesultats de lrsquoenquecircte relative au statut des coordinateurs de la protection des donneacutees agrave la Commission europeacuteenne
En 2013 nous avons adopteacute notre politique drsquoinspection qui deacutefinit les eacuteleacutements principaux de la proceacutedure drsquoinspection
du CEPD fournit des orientations agrave lrsquoensemble des acteurs concerneacutes et garantit la transparence vis-agrave-vis des parties prenantes Sur la base des expeacuteriences tireacutees des inspections anteacuterieures nous avons eacutelaboreacute et adopteacute un manuel drsquoins-pection interne complet agrave lrsquointention des membres du per-sonnel du CEPD chargeacutes drsquoeffectuer les inspections
bull Porteacutee de la consultation
Ces derniegraveres anneacutees le nombre drsquoavis eacutemis par le CEPD concernant des propositions de textes leacutegislatifs de lrsquoUnion et de documents y affeacuterents a connu une hausse constante En 2013 ce nombre a diminueacute nous avons eacutemis 20 avis leacutegislatifs et 13 seacuteries drsquoobservations formelles et nous avons adresseacute 33 conseils informels agrave la Commission ou agrave drsquoautres institutions Deux eacuteleacutements principaux expliquent cette diminution le fait que nos efforts visant agrave privileacutegier les prioriteacutes strateacutegiques ont porteacute leurs fruits et le fait que de nombreuses ressources ont eacuteteacute consacreacutees agrave la reacuteforme du cadre relatif agrave la protection des donneacutees
bull Reacutevision du cadre juridique relatif agrave la protection des donneacutees
Tout au long de lrsquoanneacutee 2013 nous sommes resteacutes eacutetroi-tement associeacutes au travail en cours concernant la reacuteforme du cadre europeacuteen relatif agrave la protection des donneacutees Le 15 mars 2013 nous avons adresseacute au Parlement europeacuteen agrave la Commission et au Conseil des observations suppleacute-mentaires au sujet de la reacuteforme Nous avons eacutegalement continueacute de participer aux deacutebats qui ont suivi tant au Parlement qursquoau Conseil
bull Strateacutegie numeacuterique et technologie
Nous avons abordeacute le sujet de la strateacutegie numeacuterique et de lrsquointernet agrave plusieurs reprises notamment dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEurope faire du numeacute-rique un moteur de la croissance europeacuteenneraquo dans notre avis relatif au marcheacute unique europeacuteen des communica-tions eacutelectroniques et dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacuteation et valeursraquo
bull Espace de liberteacute de seacutecuriteacute et de justice
En ce qui concerne lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) nous avons eacutemis des avis concernant Euro-pol la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute les frontiegraveres intelligentes lrsquoaccord UE-Canada relatif aux dossiers passagers (PNR) ainsi que le modegravele europeacuteen drsquoeacutechange drsquoinformations
bull Coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees
Dans le domaine de la coopeacuteration nous avons continueacute de contribuer activement aux activiteacutes du groupe de tra-vail laquoArticle 29raquo Par ailleurs nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rapporteur ou corapporteur sur les
5rapport annuel 2013 reacutesumeacute
avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegi-time (sous-groupe laquoDispositions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdmi-nistration en ligneraquo)
bull Supervision conjointe
En 2013 nous avons fourni des services de secreacutetariat au nouveau groupe de coordination de la supervision du sys-tegraveme drsquoinformation Schengen de deuxiegraveme geacuteneacuteration (SIS II) et nous avons continueacute de preacutesider les groupes de coordination de la supervision drsquoEURODAC VIS et SID
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle hori-zontales et coheacuterentes concernant les systegravemes drsquoinfor-mation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coor-dination de la supervision du systegraveme drsquoinformation du marcheacute inteacuterieur (IMI) Nous avons consulteacute les autoriteacutes chargeacutees de la protection des donneacutees (APD) et la Com-mission pour faire le point sur la situation et sur les eacutevo-lutions du regraveglement IMI afin drsquoorganiser la premiegravere reacuteunion du groupe en 2014
bull Politique IT
Eu eacutegard agrave notre politique en matiegravere de technologies de lrsquoinformation (IT) nous avons contribueacute agrave plusieurs avis sur des propositions de la Commission qui revecirctent une dimension strateacutegique pour lrsquoavenir de la socieacuteteacute numeacute-rique en Europe Notre expertise IT nous a eacutegalement conduits agrave effectuer une visite aupregraves de lrsquoagence euro-peacuteenne pour la gestion opeacuterationnelle des systegravemes drsquoin-formation agrave grande eacutechelle dans le contexte de la migration du SIS II Cette expertise srsquoest aveacutereacutee tregraves utile dans nos acti-viteacutes de supervision y compris dans le cadre des reacuteclama-tions des controcircles preacutealables et des inspections
Cette expertise IT a favoriseacute nos eacutechanges avec le person-nel compeacutetent de lrsquoadministration de lrsquoUnion dans le cadre de lrsquoeacutelaboration de nos lignes directrices relatives agrave la pro-tection des donneacutees et agrave la technologie ces eacutechanges ont amorceacute des discussions au sein des institutions de lrsquoUnion concernant lrsquoapproche geacuteneacuterale qursquoelles adoptent agrave lrsquoeacutegard de lrsquoeacutevaluation des risques et des mesures de seacutecu-riteacute compte tenu des faiblesses aveacutereacutees de certains outils cryptographiques et de seacutecuriteacute couramment utiliseacutes
bull Information et communication
Dans le domaine de la communication nous avons ren-forceacute la visibiliteacute du CEPD au niveau institutionnel dans lrsquoexercice de nos fonctions de supervision de consultation et de coopeacuteration Nous utilisons plusieurs indicateurs tels que le nombre de demandes drsquoinformations soumises par les citoyens le nombre de demandes de renseigne-ment provenant des meacutedias et le nombre de demandes drsquoentretien (relations avec la presse) le nombre drsquoabon-neacutes agrave notre newsletter le nombre de personnes suivant le CEPD sur Twitter ainsi que le nombre drsquoinvitations agrave venir srsquoexprimer agrave des confeacuterences et le trafic sur le site Internet Tous ces indicateurs tendent agrave montrer que nous sommes de plus en plus perccedilus comme un point de reacutefeacuterence pour les questions lieacutees agrave la protection des donneacutees au niveau de lrsquoUnion europeacuteenne
Le nombre de visites sur le site web du CEPD a connu une hausse constante au cours de lrsquoanneacutee (63 par rap-port agrave 2012) et le nombre de visites drsquoeacutetude a augmenteacute (17 groupes contre deux en 2012) tout comme le nombre de demandes drsquoinformations et de conseils soumises par des particuliers (176 demandes eacutecrites soit une augmen-tation de 51 par rapport agrave 2012) En deacutecembre nous avons creacuteeacute une page speacutecifiquement consacreacutee agrave notre organisation sur LinkedIn ce qui constitue un autre moyen de promouvoir le CEPD en tant qursquoinstitution de renforcer notre preacutesence en ligne et drsquoameacuteliorer notre visibiliteacute
bull Organisation interne
Agrave la suite du deacutepart du chef du secteur laquoOpeacuterations plan-ning et assistanceraquo apregraves la mise en service de notre sys-tegraveme de gestion des dossiers en octobre 2013 nous avons restructureacute notre organigramme de sorte que lrsquoeacutequipe de gestion des dossiers rend deacutesormais compte au directeur
Conformeacutement aux recommandations du service drsquoaudit interne et afin de renforcer lrsquoefficaciteacute la fonction de coordi-nateur du controcircle interne a eacuteteacute seacutepareacutee de lrsquoeacutequipe chargeacutee des ressources humaines du budget et de lrsquoadministration et elle rend deacutesormais eacutegalement compte au directeur
bull Gestion des ressources
En 2013 nous sommes parvenus agrave accroicirctre notre taux drsquoexeacutecution du budget Neacuteanmoins le reacutesultat final nrsquoa pas reacutepondu agrave nos attentes en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du person-nel de lrsquoUnion europeacuteenne Cette deacutecision inattendue a eacuteteacute adopteacutee tard dans lrsquoanneacutee ce qui nrsquoa laisseacute qursquoune tregraves faible marge de manœuvre pour organiser un redeacuteploie-ment En outre le fait que le Conseil refuse drsquoenvisager tout transfert opeacutereacute agrave partir du budget des salaires vers drsquoautres lignes budgeacutetaires a reacuteduit encore davantage la marge de manœuvre Si le Conseil et le Parlement eacutetaient parvenus agrave un accord avant la fin de lrsquoanneacutee comme le souhaitait la Commission le taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 )
Chiffres cleacutes du CEPD en 2013
Icirc 91 avis de controcircle preacutealable adopteacutes 21 avis sur lrsquoabsence de controcircle preacutealable
Icirc 78 reacuteclamations reccedilues dont 30 recevables
Icirc 37 consultations reccedilues concernant des mesures administratives
Icirc 8 inspections sur place (y compris 2 visites drsquoinformation) et 3 visites effectueacutees
Icirc 1 ligne directrice publieacutee concernant le traitement des informations agrave caractegravere personnel dans le domaine des marcheacutes publics
Icirc 20 avis leacutegislatifs publieacutes
Icirc 13 seacuteries drsquoobservations formelles publieacutees
Icirc 33 seacuteries drsquoobservations informelles publieacutees
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
3rapport annuel 2013 reacutesumeacute
INTRODUCTION
Le preacutesent rapport couvre lrsquoanneacutee 2013 dixiegraveme anneacutee drsquoactiviteacute du Controcircleur europeacuteen de la protection des donneacutees (CEPD) en tant qursquoautoriteacute de controcircle indeacutepen-dante dont la mission est de veiller agrave ce que lors du trai-tement de donneacutees agrave caractegravere personnel les liberteacutes et droits fondamentaux des personnes physiques en parti-culier leur vie priveacutee soient respecteacutes par les institutions et organes de lrsquoUnion europeacuteenne1 Il porte eacutegalement sur la derniegravere anneacutee du mandat commun de M Peter Hus-tinx CEPD et de M Giovanni Buttarelli controcircleur adjoint en leur qualiteacute de membres de cette autoriteacute
Le regraveglement (CE) ndeg 4520012 qui constitue le cadre juridique dans lequel le CEPD opegravere deacutefinit un certain nombre de tacircches et de compeacutetences qui permettent de distinguer nos trois fonctions principales agrave savoir la super-vision la consultation et la coopeacuteration Ces fonctions continuent de servir de cadre strateacutegique pour nos acti-viteacutes et sont preacutesenteacutees dans lrsquoeacutenonceacute de notre mission
bull nous controcirclons et assurons le respect des garan-ties juridiques existantes par les institutions et organes de lrsquoUnion europeacuteenne chaque fois qursquoils traitent des informations agrave caractegravere personnel
bull nous conseillons les institutions et les organes de lrsquoUnion europeacuteenne sur toutes les questions perti-nentes et en particulier sur les propositions leacutegis-latives ayant une incidence sur la protection des informations agrave caractegravere personnel
bull nous coopeacuterons avec les autoriteacutes nationales de controcircle et avec drsquoautres organes de controcircle compeacutetents en vue drsquoameacuteliorer la coheacuterence en matiegravere de protection des informations agrave carac-tegravere personnel
bull nous assurons le suivi des nouvelles technologies qui pourraient avoir une incidence sur la protec-tion des informations agrave caractegravere personnel
1 Les termes laquoinstitutionsraquo et laquoorganesraquo qui figurent dans le regraveglement (CE) ndeg 452001 sont utiliseacutes tout au long du rapport Ils deacutesignent aussi les agences de lrsquoUnion europeacuteenne Pour consulter une liste complegravete de ces organes et institutions rendez-vous agrave lrsquoadresse sui-vante httpeuropaeuabout-euinstitutions-bodiesindex_frhtm
2 Regraveglement (CE) ndeg 452001 du Parlement europeacuteen et du Conseil du 18 deacutecembre 2000 relatif agrave la protection des personnes physiques agrave lrsquoeacutegard du traitement des donneacutees agrave caractegravere personnel par les insti-tutions et organes communautaires et agrave la libre circulation de ces don-neacutees (JO L 8 du 1212001 p 1)
bull nous intervenons devant la Cour de justice de lrsquoUnion europeacuteenne pour fournir des avis drsquoex-perts sur lrsquointerpreacutetation de la leacutegislation relative agrave la protection des donneacutees
Notre Strateacutegie 2013-2014 notre regraveglement inteacuterieur et notre plan de gestion annuel ont constitueacute des sources preacutecieuses drsquoorientation en deacutefinissant clairement la vision et la meacutethode neacutecessaires pour ameacuteliorer notre capaciteacute agrave travailler efficacement dans un climat drsquoausteacuteriteacute Notre institution est deacutesormais parvenue agrave un stade de deacutevelop-pement complet et dispose drsquoobjectifs et drsquoindicateurs de performance clairs
En ce qui concerne la supervision des institutions et organes de lrsquoUnion europeacuteenne lors du traitement de donneacutees agrave caractegravere personnel nous avons interagi avec plus de deacuteleacutegueacutes agrave la protection des donneacutees provenant de plus drsquoinstitutions et drsquoorganes que jamais De plus nous avons effectueacute plusieurs enquecirctes qui ont reacuteveacuteleacute que la plupart des institutions et organes de lrsquoUnion euro-peacuteenne y compris de nombreuses agences ont accompli des progregraves notables dans le respect du regraveglement relatif agrave la protection des donneacutees mecircme si certains devraient intensifier encore leurs efforts
En ce qui concerne la consultation les activiteacutes de conseil sur les nouvelles mesures leacutegislatives et la reacutevision du cadre juridique de lrsquoUnion en matiegravere de protection des donneacutees ont continueacute de figurer parmi nos principales prioriteacutes La strateacutegie numeacuterique et les risques pour la vie priveacutee associeacutes aux nouvelles technologies ont eacutega-lement revecirctu une importance particuliegravere en 2013 Tou-tefois lrsquoentreacutee en vigueur du programme de Stockholm dans lrsquoespace de liberteacute de seacutecuriteacute et de justice et les questions lieacutees au marcheacute inteacuterieur comme la reacuteforme du secteur financier ou encore les deacutebats relatifs agrave la santeacute publique et agrave la protection des consommateurs ont eacutegale-ment eu des reacutepercussions sur la protection des donneacutees Nous avons par ailleurs renforceacute notre coopeacuteration avec drsquoautres autoriteacutes de controcircle en particulier concernant les systegravemes drsquoinformation agrave grande eacutechelle
4
FAITS MARQUANTS DE LrsquoANNEacuteE 2013
Dix ans apregraves sa creacuteation le CEPD est une organisation bien deacuteveloppeacutee qui est en mesure de faire face aux nom-breux deacutefis qursquoune autoriteacute chargeacutee de la protection des donneacutees doit relever dans un environnement tregraves dyna-mique En 2013 notre principal deacutefi opeacuterationnel a eacuteteacute de poursuivre le deacuteveloppement de nos activiteacutes tant au niveau de lrsquoampleur que de la porteacutee malgreacute la persistance des restrictions budgeacutetaires lieacutees agrave la crise financiegravere
bull Controcircles preacutealables
Nous avons observeacute une augmentation du nombre de notifications de controcircle preacutealable reccedilues dans le cadre de nos activiteacutes de supervision et de mise en applica-tion Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutealable ex post concernant les opeacuterations de traitement deacutejagrave en cours La hausse du nombre drsquoavis eacutemis durant lrsquoanneacutee reacutesulte eacutegalement du nombre eacuteleveacute de notifications reccedilues Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacuterieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
bull Culture de protection des donneacutees
Afin de garantir que les institutions et organes de lrsquoUnion europeacuteenne soient conscients de leurs obligations et qursquoils assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees nous avons continueacute agrave fournir des orientations et des formations aux responsables du traitement aux deacuteleacutegueacutes agrave la protection des donneacutees (DPD) et aux coordinateurs de la protection des donneacutees (CPD) En 2013 cet objectif a eacuteteacute principalement accompli par la publication de lignes directrices en matiegravere de mar-cheacutes publics de subventions et drsquoexperts externes et par lrsquoorganisation drsquoune formation de base destineacutee aux nou-veaux DPD sur la proceacutedure de controcircle preacutealable ainsi que drsquoune formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion Nos initiatives de sensi-bilisation dans les institutions et organes de lrsquoUnion euro-peacuteenne ont notamment consisteacute agrave organiser des ateliers pour les responsables du traitement agrave la Fondation euro-peacuteenne pour la formation (ETF) et agrave lrsquoAgence europeacuteenne de deacutefense (AED) ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectronique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par les institutions et organes de lrsquoUnion europeacuteenne
bull Enquecirctes et politiques
Les reacutesultats de notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) lanceacute le 17 juin 2013 dans le cadre de nos activiteacutes de controcircle de la conformiteacute seront publieacutes deacutebut 2014 En janvier 2013 nous avons eacutegalement publieacute un rapport preacutesentant les reacutesultats de lrsquoenquecircte relative au statut des coordinateurs de la protection des donneacutees agrave la Commission europeacuteenne
En 2013 nous avons adopteacute notre politique drsquoinspection qui deacutefinit les eacuteleacutements principaux de la proceacutedure drsquoinspection
du CEPD fournit des orientations agrave lrsquoensemble des acteurs concerneacutes et garantit la transparence vis-agrave-vis des parties prenantes Sur la base des expeacuteriences tireacutees des inspections anteacuterieures nous avons eacutelaboreacute et adopteacute un manuel drsquoins-pection interne complet agrave lrsquointention des membres du per-sonnel du CEPD chargeacutes drsquoeffectuer les inspections
bull Porteacutee de la consultation
Ces derniegraveres anneacutees le nombre drsquoavis eacutemis par le CEPD concernant des propositions de textes leacutegislatifs de lrsquoUnion et de documents y affeacuterents a connu une hausse constante En 2013 ce nombre a diminueacute nous avons eacutemis 20 avis leacutegislatifs et 13 seacuteries drsquoobservations formelles et nous avons adresseacute 33 conseils informels agrave la Commission ou agrave drsquoautres institutions Deux eacuteleacutements principaux expliquent cette diminution le fait que nos efforts visant agrave privileacutegier les prioriteacutes strateacutegiques ont porteacute leurs fruits et le fait que de nombreuses ressources ont eacuteteacute consacreacutees agrave la reacuteforme du cadre relatif agrave la protection des donneacutees
bull Reacutevision du cadre juridique relatif agrave la protection des donneacutees
Tout au long de lrsquoanneacutee 2013 nous sommes resteacutes eacutetroi-tement associeacutes au travail en cours concernant la reacuteforme du cadre europeacuteen relatif agrave la protection des donneacutees Le 15 mars 2013 nous avons adresseacute au Parlement europeacuteen agrave la Commission et au Conseil des observations suppleacute-mentaires au sujet de la reacuteforme Nous avons eacutegalement continueacute de participer aux deacutebats qui ont suivi tant au Parlement qursquoau Conseil
bull Strateacutegie numeacuterique et technologie
Nous avons abordeacute le sujet de la strateacutegie numeacuterique et de lrsquointernet agrave plusieurs reprises notamment dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEurope faire du numeacute-rique un moteur de la croissance europeacuteenneraquo dans notre avis relatif au marcheacute unique europeacuteen des communica-tions eacutelectroniques et dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacuteation et valeursraquo
bull Espace de liberteacute de seacutecuriteacute et de justice
En ce qui concerne lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) nous avons eacutemis des avis concernant Euro-pol la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute les frontiegraveres intelligentes lrsquoaccord UE-Canada relatif aux dossiers passagers (PNR) ainsi que le modegravele europeacuteen drsquoeacutechange drsquoinformations
bull Coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees
Dans le domaine de la coopeacuteration nous avons continueacute de contribuer activement aux activiteacutes du groupe de tra-vail laquoArticle 29raquo Par ailleurs nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rapporteur ou corapporteur sur les
5rapport annuel 2013 reacutesumeacute
avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegi-time (sous-groupe laquoDispositions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdmi-nistration en ligneraquo)
bull Supervision conjointe
En 2013 nous avons fourni des services de secreacutetariat au nouveau groupe de coordination de la supervision du sys-tegraveme drsquoinformation Schengen de deuxiegraveme geacuteneacuteration (SIS II) et nous avons continueacute de preacutesider les groupes de coordination de la supervision drsquoEURODAC VIS et SID
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle hori-zontales et coheacuterentes concernant les systegravemes drsquoinfor-mation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coor-dination de la supervision du systegraveme drsquoinformation du marcheacute inteacuterieur (IMI) Nous avons consulteacute les autoriteacutes chargeacutees de la protection des donneacutees (APD) et la Com-mission pour faire le point sur la situation et sur les eacutevo-lutions du regraveglement IMI afin drsquoorganiser la premiegravere reacuteunion du groupe en 2014
bull Politique IT
Eu eacutegard agrave notre politique en matiegravere de technologies de lrsquoinformation (IT) nous avons contribueacute agrave plusieurs avis sur des propositions de la Commission qui revecirctent une dimension strateacutegique pour lrsquoavenir de la socieacuteteacute numeacute-rique en Europe Notre expertise IT nous a eacutegalement conduits agrave effectuer une visite aupregraves de lrsquoagence euro-peacuteenne pour la gestion opeacuterationnelle des systegravemes drsquoin-formation agrave grande eacutechelle dans le contexte de la migration du SIS II Cette expertise srsquoest aveacutereacutee tregraves utile dans nos acti-viteacutes de supervision y compris dans le cadre des reacuteclama-tions des controcircles preacutealables et des inspections
Cette expertise IT a favoriseacute nos eacutechanges avec le person-nel compeacutetent de lrsquoadministration de lrsquoUnion dans le cadre de lrsquoeacutelaboration de nos lignes directrices relatives agrave la pro-tection des donneacutees et agrave la technologie ces eacutechanges ont amorceacute des discussions au sein des institutions de lrsquoUnion concernant lrsquoapproche geacuteneacuterale qursquoelles adoptent agrave lrsquoeacutegard de lrsquoeacutevaluation des risques et des mesures de seacutecu-riteacute compte tenu des faiblesses aveacutereacutees de certains outils cryptographiques et de seacutecuriteacute couramment utiliseacutes
bull Information et communication
Dans le domaine de la communication nous avons ren-forceacute la visibiliteacute du CEPD au niveau institutionnel dans lrsquoexercice de nos fonctions de supervision de consultation et de coopeacuteration Nous utilisons plusieurs indicateurs tels que le nombre de demandes drsquoinformations soumises par les citoyens le nombre de demandes de renseigne-ment provenant des meacutedias et le nombre de demandes drsquoentretien (relations avec la presse) le nombre drsquoabon-neacutes agrave notre newsletter le nombre de personnes suivant le CEPD sur Twitter ainsi que le nombre drsquoinvitations agrave venir srsquoexprimer agrave des confeacuterences et le trafic sur le site Internet Tous ces indicateurs tendent agrave montrer que nous sommes de plus en plus perccedilus comme un point de reacutefeacuterence pour les questions lieacutees agrave la protection des donneacutees au niveau de lrsquoUnion europeacuteenne
Le nombre de visites sur le site web du CEPD a connu une hausse constante au cours de lrsquoanneacutee (63 par rap-port agrave 2012) et le nombre de visites drsquoeacutetude a augmenteacute (17 groupes contre deux en 2012) tout comme le nombre de demandes drsquoinformations et de conseils soumises par des particuliers (176 demandes eacutecrites soit une augmen-tation de 51 par rapport agrave 2012) En deacutecembre nous avons creacuteeacute une page speacutecifiquement consacreacutee agrave notre organisation sur LinkedIn ce qui constitue un autre moyen de promouvoir le CEPD en tant qursquoinstitution de renforcer notre preacutesence en ligne et drsquoameacuteliorer notre visibiliteacute
bull Organisation interne
Agrave la suite du deacutepart du chef du secteur laquoOpeacuterations plan-ning et assistanceraquo apregraves la mise en service de notre sys-tegraveme de gestion des dossiers en octobre 2013 nous avons restructureacute notre organigramme de sorte que lrsquoeacutequipe de gestion des dossiers rend deacutesormais compte au directeur
Conformeacutement aux recommandations du service drsquoaudit interne et afin de renforcer lrsquoefficaciteacute la fonction de coordi-nateur du controcircle interne a eacuteteacute seacutepareacutee de lrsquoeacutequipe chargeacutee des ressources humaines du budget et de lrsquoadministration et elle rend deacutesormais eacutegalement compte au directeur
bull Gestion des ressources
En 2013 nous sommes parvenus agrave accroicirctre notre taux drsquoexeacutecution du budget Neacuteanmoins le reacutesultat final nrsquoa pas reacutepondu agrave nos attentes en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du person-nel de lrsquoUnion europeacuteenne Cette deacutecision inattendue a eacuteteacute adopteacutee tard dans lrsquoanneacutee ce qui nrsquoa laisseacute qursquoune tregraves faible marge de manœuvre pour organiser un redeacuteploie-ment En outre le fait que le Conseil refuse drsquoenvisager tout transfert opeacutereacute agrave partir du budget des salaires vers drsquoautres lignes budgeacutetaires a reacuteduit encore davantage la marge de manœuvre Si le Conseil et le Parlement eacutetaient parvenus agrave un accord avant la fin de lrsquoanneacutee comme le souhaitait la Commission le taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 )
Chiffres cleacutes du CEPD en 2013
Icirc 91 avis de controcircle preacutealable adopteacutes 21 avis sur lrsquoabsence de controcircle preacutealable
Icirc 78 reacuteclamations reccedilues dont 30 recevables
Icirc 37 consultations reccedilues concernant des mesures administratives
Icirc 8 inspections sur place (y compris 2 visites drsquoinformation) et 3 visites effectueacutees
Icirc 1 ligne directrice publieacutee concernant le traitement des informations agrave caractegravere personnel dans le domaine des marcheacutes publics
Icirc 20 avis leacutegislatifs publieacutes
Icirc 13 seacuteries drsquoobservations formelles publieacutees
Icirc 33 seacuteries drsquoobservations informelles publieacutees
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
4
FAITS MARQUANTS DE LrsquoANNEacuteE 2013
Dix ans apregraves sa creacuteation le CEPD est une organisation bien deacuteveloppeacutee qui est en mesure de faire face aux nom-breux deacutefis qursquoune autoriteacute chargeacutee de la protection des donneacutees doit relever dans un environnement tregraves dyna-mique En 2013 notre principal deacutefi opeacuterationnel a eacuteteacute de poursuivre le deacuteveloppement de nos activiteacutes tant au niveau de lrsquoampleur que de la porteacutee malgreacute la persistance des restrictions budgeacutetaires lieacutees agrave la crise financiegravere
bull Controcircles preacutealables
Nous avons observeacute une augmentation du nombre de notifications de controcircle preacutealable reccedilues dans le cadre de nos activiteacutes de supervision et de mise en applica-tion Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutealable ex post concernant les opeacuterations de traitement deacutejagrave en cours La hausse du nombre drsquoavis eacutemis durant lrsquoanneacutee reacutesulte eacutegalement du nombre eacuteleveacute de notifications reccedilues Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacuterieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
bull Culture de protection des donneacutees
Afin de garantir que les institutions et organes de lrsquoUnion europeacuteenne soient conscients de leurs obligations et qursquoils assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees nous avons continueacute agrave fournir des orientations et des formations aux responsables du traitement aux deacuteleacutegueacutes agrave la protection des donneacutees (DPD) et aux coordinateurs de la protection des donneacutees (CPD) En 2013 cet objectif a eacuteteacute principalement accompli par la publication de lignes directrices en matiegravere de mar-cheacutes publics de subventions et drsquoexperts externes et par lrsquoorganisation drsquoune formation de base destineacutee aux nou-veaux DPD sur la proceacutedure de controcircle preacutealable ainsi que drsquoune formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion Nos initiatives de sensi-bilisation dans les institutions et organes de lrsquoUnion euro-peacuteenne ont notamment consisteacute agrave organiser des ateliers pour les responsables du traitement agrave la Fondation euro-peacuteenne pour la formation (ETF) et agrave lrsquoAgence europeacuteenne de deacutefense (AED) ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectronique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par les institutions et organes de lrsquoUnion europeacuteenne
bull Enquecirctes et politiques
Les reacutesultats de notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) lanceacute le 17 juin 2013 dans le cadre de nos activiteacutes de controcircle de la conformiteacute seront publieacutes deacutebut 2014 En janvier 2013 nous avons eacutegalement publieacute un rapport preacutesentant les reacutesultats de lrsquoenquecircte relative au statut des coordinateurs de la protection des donneacutees agrave la Commission europeacuteenne
En 2013 nous avons adopteacute notre politique drsquoinspection qui deacutefinit les eacuteleacutements principaux de la proceacutedure drsquoinspection
du CEPD fournit des orientations agrave lrsquoensemble des acteurs concerneacutes et garantit la transparence vis-agrave-vis des parties prenantes Sur la base des expeacuteriences tireacutees des inspections anteacuterieures nous avons eacutelaboreacute et adopteacute un manuel drsquoins-pection interne complet agrave lrsquointention des membres du per-sonnel du CEPD chargeacutes drsquoeffectuer les inspections
bull Porteacutee de la consultation
Ces derniegraveres anneacutees le nombre drsquoavis eacutemis par le CEPD concernant des propositions de textes leacutegislatifs de lrsquoUnion et de documents y affeacuterents a connu une hausse constante En 2013 ce nombre a diminueacute nous avons eacutemis 20 avis leacutegislatifs et 13 seacuteries drsquoobservations formelles et nous avons adresseacute 33 conseils informels agrave la Commission ou agrave drsquoautres institutions Deux eacuteleacutements principaux expliquent cette diminution le fait que nos efforts visant agrave privileacutegier les prioriteacutes strateacutegiques ont porteacute leurs fruits et le fait que de nombreuses ressources ont eacuteteacute consacreacutees agrave la reacuteforme du cadre relatif agrave la protection des donneacutees
bull Reacutevision du cadre juridique relatif agrave la protection des donneacutees
Tout au long de lrsquoanneacutee 2013 nous sommes resteacutes eacutetroi-tement associeacutes au travail en cours concernant la reacuteforme du cadre europeacuteen relatif agrave la protection des donneacutees Le 15 mars 2013 nous avons adresseacute au Parlement europeacuteen agrave la Commission et au Conseil des observations suppleacute-mentaires au sujet de la reacuteforme Nous avons eacutegalement continueacute de participer aux deacutebats qui ont suivi tant au Parlement qursquoau Conseil
bull Strateacutegie numeacuterique et technologie
Nous avons abordeacute le sujet de la strateacutegie numeacuterique et de lrsquointernet agrave plusieurs reprises notamment dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEurope faire du numeacute-rique un moteur de la croissance europeacuteenneraquo dans notre avis relatif au marcheacute unique europeacuteen des communica-tions eacutelectroniques et dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacuteation et valeursraquo
bull Espace de liberteacute de seacutecuriteacute et de justice
En ce qui concerne lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) nous avons eacutemis des avis concernant Euro-pol la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute les frontiegraveres intelligentes lrsquoaccord UE-Canada relatif aux dossiers passagers (PNR) ainsi que le modegravele europeacuteen drsquoeacutechange drsquoinformations
bull Coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees
Dans le domaine de la coopeacuteration nous avons continueacute de contribuer activement aux activiteacutes du groupe de tra-vail laquoArticle 29raquo Par ailleurs nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rapporteur ou corapporteur sur les
5rapport annuel 2013 reacutesumeacute
avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegi-time (sous-groupe laquoDispositions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdmi-nistration en ligneraquo)
bull Supervision conjointe
En 2013 nous avons fourni des services de secreacutetariat au nouveau groupe de coordination de la supervision du sys-tegraveme drsquoinformation Schengen de deuxiegraveme geacuteneacuteration (SIS II) et nous avons continueacute de preacutesider les groupes de coordination de la supervision drsquoEURODAC VIS et SID
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle hori-zontales et coheacuterentes concernant les systegravemes drsquoinfor-mation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coor-dination de la supervision du systegraveme drsquoinformation du marcheacute inteacuterieur (IMI) Nous avons consulteacute les autoriteacutes chargeacutees de la protection des donneacutees (APD) et la Com-mission pour faire le point sur la situation et sur les eacutevo-lutions du regraveglement IMI afin drsquoorganiser la premiegravere reacuteunion du groupe en 2014
bull Politique IT
Eu eacutegard agrave notre politique en matiegravere de technologies de lrsquoinformation (IT) nous avons contribueacute agrave plusieurs avis sur des propositions de la Commission qui revecirctent une dimension strateacutegique pour lrsquoavenir de la socieacuteteacute numeacute-rique en Europe Notre expertise IT nous a eacutegalement conduits agrave effectuer une visite aupregraves de lrsquoagence euro-peacuteenne pour la gestion opeacuterationnelle des systegravemes drsquoin-formation agrave grande eacutechelle dans le contexte de la migration du SIS II Cette expertise srsquoest aveacutereacutee tregraves utile dans nos acti-viteacutes de supervision y compris dans le cadre des reacuteclama-tions des controcircles preacutealables et des inspections
Cette expertise IT a favoriseacute nos eacutechanges avec le person-nel compeacutetent de lrsquoadministration de lrsquoUnion dans le cadre de lrsquoeacutelaboration de nos lignes directrices relatives agrave la pro-tection des donneacutees et agrave la technologie ces eacutechanges ont amorceacute des discussions au sein des institutions de lrsquoUnion concernant lrsquoapproche geacuteneacuterale qursquoelles adoptent agrave lrsquoeacutegard de lrsquoeacutevaluation des risques et des mesures de seacutecu-riteacute compte tenu des faiblesses aveacutereacutees de certains outils cryptographiques et de seacutecuriteacute couramment utiliseacutes
bull Information et communication
Dans le domaine de la communication nous avons ren-forceacute la visibiliteacute du CEPD au niveau institutionnel dans lrsquoexercice de nos fonctions de supervision de consultation et de coopeacuteration Nous utilisons plusieurs indicateurs tels que le nombre de demandes drsquoinformations soumises par les citoyens le nombre de demandes de renseigne-ment provenant des meacutedias et le nombre de demandes drsquoentretien (relations avec la presse) le nombre drsquoabon-neacutes agrave notre newsletter le nombre de personnes suivant le CEPD sur Twitter ainsi que le nombre drsquoinvitations agrave venir srsquoexprimer agrave des confeacuterences et le trafic sur le site Internet Tous ces indicateurs tendent agrave montrer que nous sommes de plus en plus perccedilus comme un point de reacutefeacuterence pour les questions lieacutees agrave la protection des donneacutees au niveau de lrsquoUnion europeacuteenne
Le nombre de visites sur le site web du CEPD a connu une hausse constante au cours de lrsquoanneacutee (63 par rap-port agrave 2012) et le nombre de visites drsquoeacutetude a augmenteacute (17 groupes contre deux en 2012) tout comme le nombre de demandes drsquoinformations et de conseils soumises par des particuliers (176 demandes eacutecrites soit une augmen-tation de 51 par rapport agrave 2012) En deacutecembre nous avons creacuteeacute une page speacutecifiquement consacreacutee agrave notre organisation sur LinkedIn ce qui constitue un autre moyen de promouvoir le CEPD en tant qursquoinstitution de renforcer notre preacutesence en ligne et drsquoameacuteliorer notre visibiliteacute
bull Organisation interne
Agrave la suite du deacutepart du chef du secteur laquoOpeacuterations plan-ning et assistanceraquo apregraves la mise en service de notre sys-tegraveme de gestion des dossiers en octobre 2013 nous avons restructureacute notre organigramme de sorte que lrsquoeacutequipe de gestion des dossiers rend deacutesormais compte au directeur
Conformeacutement aux recommandations du service drsquoaudit interne et afin de renforcer lrsquoefficaciteacute la fonction de coordi-nateur du controcircle interne a eacuteteacute seacutepareacutee de lrsquoeacutequipe chargeacutee des ressources humaines du budget et de lrsquoadministration et elle rend deacutesormais eacutegalement compte au directeur
bull Gestion des ressources
En 2013 nous sommes parvenus agrave accroicirctre notre taux drsquoexeacutecution du budget Neacuteanmoins le reacutesultat final nrsquoa pas reacutepondu agrave nos attentes en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du person-nel de lrsquoUnion europeacuteenne Cette deacutecision inattendue a eacuteteacute adopteacutee tard dans lrsquoanneacutee ce qui nrsquoa laisseacute qursquoune tregraves faible marge de manœuvre pour organiser un redeacuteploie-ment En outre le fait que le Conseil refuse drsquoenvisager tout transfert opeacutereacute agrave partir du budget des salaires vers drsquoautres lignes budgeacutetaires a reacuteduit encore davantage la marge de manœuvre Si le Conseil et le Parlement eacutetaient parvenus agrave un accord avant la fin de lrsquoanneacutee comme le souhaitait la Commission le taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 )
Chiffres cleacutes du CEPD en 2013
Icirc 91 avis de controcircle preacutealable adopteacutes 21 avis sur lrsquoabsence de controcircle preacutealable
Icirc 78 reacuteclamations reccedilues dont 30 recevables
Icirc 37 consultations reccedilues concernant des mesures administratives
Icirc 8 inspections sur place (y compris 2 visites drsquoinformation) et 3 visites effectueacutees
Icirc 1 ligne directrice publieacutee concernant le traitement des informations agrave caractegravere personnel dans le domaine des marcheacutes publics
Icirc 20 avis leacutegislatifs publieacutes
Icirc 13 seacuteries drsquoobservations formelles publieacutees
Icirc 33 seacuteries drsquoobservations informelles publieacutees
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
5rapport annuel 2013 reacutesumeacute
avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegi-time (sous-groupe laquoDispositions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdmi-nistration en ligneraquo)
bull Supervision conjointe
En 2013 nous avons fourni des services de secreacutetariat au nouveau groupe de coordination de la supervision du sys-tegraveme drsquoinformation Schengen de deuxiegraveme geacuteneacuteration (SIS II) et nous avons continueacute de preacutesider les groupes de coordination de la supervision drsquoEURODAC VIS et SID
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle hori-zontales et coheacuterentes concernant les systegravemes drsquoinfor-mation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coor-dination de la supervision du systegraveme drsquoinformation du marcheacute inteacuterieur (IMI) Nous avons consulteacute les autoriteacutes chargeacutees de la protection des donneacutees (APD) et la Com-mission pour faire le point sur la situation et sur les eacutevo-lutions du regraveglement IMI afin drsquoorganiser la premiegravere reacuteunion du groupe en 2014
bull Politique IT
Eu eacutegard agrave notre politique en matiegravere de technologies de lrsquoinformation (IT) nous avons contribueacute agrave plusieurs avis sur des propositions de la Commission qui revecirctent une dimension strateacutegique pour lrsquoavenir de la socieacuteteacute numeacute-rique en Europe Notre expertise IT nous a eacutegalement conduits agrave effectuer une visite aupregraves de lrsquoagence euro-peacuteenne pour la gestion opeacuterationnelle des systegravemes drsquoin-formation agrave grande eacutechelle dans le contexte de la migration du SIS II Cette expertise srsquoest aveacutereacutee tregraves utile dans nos acti-viteacutes de supervision y compris dans le cadre des reacuteclama-tions des controcircles preacutealables et des inspections
Cette expertise IT a favoriseacute nos eacutechanges avec le person-nel compeacutetent de lrsquoadministration de lrsquoUnion dans le cadre de lrsquoeacutelaboration de nos lignes directrices relatives agrave la pro-tection des donneacutees et agrave la technologie ces eacutechanges ont amorceacute des discussions au sein des institutions de lrsquoUnion concernant lrsquoapproche geacuteneacuterale qursquoelles adoptent agrave lrsquoeacutegard de lrsquoeacutevaluation des risques et des mesures de seacutecu-riteacute compte tenu des faiblesses aveacutereacutees de certains outils cryptographiques et de seacutecuriteacute couramment utiliseacutes
bull Information et communication
Dans le domaine de la communication nous avons ren-forceacute la visibiliteacute du CEPD au niveau institutionnel dans lrsquoexercice de nos fonctions de supervision de consultation et de coopeacuteration Nous utilisons plusieurs indicateurs tels que le nombre de demandes drsquoinformations soumises par les citoyens le nombre de demandes de renseigne-ment provenant des meacutedias et le nombre de demandes drsquoentretien (relations avec la presse) le nombre drsquoabon-neacutes agrave notre newsletter le nombre de personnes suivant le CEPD sur Twitter ainsi que le nombre drsquoinvitations agrave venir srsquoexprimer agrave des confeacuterences et le trafic sur le site Internet Tous ces indicateurs tendent agrave montrer que nous sommes de plus en plus perccedilus comme un point de reacutefeacuterence pour les questions lieacutees agrave la protection des donneacutees au niveau de lrsquoUnion europeacuteenne
Le nombre de visites sur le site web du CEPD a connu une hausse constante au cours de lrsquoanneacutee (63 par rap-port agrave 2012) et le nombre de visites drsquoeacutetude a augmenteacute (17 groupes contre deux en 2012) tout comme le nombre de demandes drsquoinformations et de conseils soumises par des particuliers (176 demandes eacutecrites soit une augmen-tation de 51 par rapport agrave 2012) En deacutecembre nous avons creacuteeacute une page speacutecifiquement consacreacutee agrave notre organisation sur LinkedIn ce qui constitue un autre moyen de promouvoir le CEPD en tant qursquoinstitution de renforcer notre preacutesence en ligne et drsquoameacuteliorer notre visibiliteacute
bull Organisation interne
Agrave la suite du deacutepart du chef du secteur laquoOpeacuterations plan-ning et assistanceraquo apregraves la mise en service de notre sys-tegraveme de gestion des dossiers en octobre 2013 nous avons restructureacute notre organigramme de sorte que lrsquoeacutequipe de gestion des dossiers rend deacutesormais compte au directeur
Conformeacutement aux recommandations du service drsquoaudit interne et afin de renforcer lrsquoefficaciteacute la fonction de coordi-nateur du controcircle interne a eacuteteacute seacutepareacutee de lrsquoeacutequipe chargeacutee des ressources humaines du budget et de lrsquoadministration et elle rend deacutesormais eacutegalement compte au directeur
bull Gestion des ressources
En 2013 nous sommes parvenus agrave accroicirctre notre taux drsquoexeacutecution du budget Neacuteanmoins le reacutesultat final nrsquoa pas reacutepondu agrave nos attentes en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du person-nel de lrsquoUnion europeacuteenne Cette deacutecision inattendue a eacuteteacute adopteacutee tard dans lrsquoanneacutee ce qui nrsquoa laisseacute qursquoune tregraves faible marge de manœuvre pour organiser un redeacuteploie-ment En outre le fait que le Conseil refuse drsquoenvisager tout transfert opeacutereacute agrave partir du budget des salaires vers drsquoautres lignes budgeacutetaires a reacuteduit encore davantage la marge de manœuvre Si le Conseil et le Parlement eacutetaient parvenus agrave un accord avant la fin de lrsquoanneacutee comme le souhaitait la Commission le taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 )
Chiffres cleacutes du CEPD en 2013
Icirc 91 avis de controcircle preacutealable adopteacutes 21 avis sur lrsquoabsence de controcircle preacutealable
Icirc 78 reacuteclamations reccedilues dont 30 recevables
Icirc 37 consultations reccedilues concernant des mesures administratives
Icirc 8 inspections sur place (y compris 2 visites drsquoinformation) et 3 visites effectueacutees
Icirc 1 ligne directrice publieacutee concernant le traitement des informations agrave caractegravere personnel dans le domaine des marcheacutes publics
Icirc 20 avis leacutegislatifs publieacutes
Icirc 13 seacuteries drsquoobservations formelles publieacutees
Icirc 33 seacuteries drsquoobservations informelles publieacutees
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
6
Strateacutegie 2013-2014Dans notre strateacutegie 2013-2014 nous avons deacutefini plu-sieurs objectifs strateacutegiques afin drsquoaccroicirctre les incidences de nos activiteacutes principales sur la protection des donneacutees au niveau europeacuteen Pour eacutevaluer les progregraves accomplis dans cette direction nous avons deacutetermineacute les activiteacutes essentielles pour la reacutealisation de ces objectifs Les indi-cateurs cleacutes de performance (ICP) correspondants nous permettront de controcircler et drsquoajuster si neacutecessaire les incidences de nos activiteacutes et lrsquoefficaciteacute avec laquelle nous utilisons les ressources
De maniegravere geacuteneacuterale les reacutesultats teacutemoignent drsquoune tendance positive dans lrsquoexercice de nos activiteacutes
Globalement la mise en œuvre de la strateacutegie est en bonne voie et aucune mesure corrective nrsquoest neacutecessaire au stade actuel
Le tableau de bord des IPC
Le tableau de bord des IPC comprend une description succincte des IPC et des meacutethodes de calcul Dans la plu-part des cas les indicateurs sont mesureacutes par rapport aux objectifs initiaux Pour trois de ces indicateurs les reacutesultats de 2013 serviront de valeurs de reacutefeacuterence pour les anneacutees suivantes
ICP Description Reacutesultats [30112013] Objectif pour 2013
ICP 1 Nombre drsquoinspections ou de visites effectueacutees Mesure par rapport agrave lrsquoobjectif
3 visites8 inspections
8 (au minimum)
ICP 2 Nombre drsquoinitiatives de sensibilisation et de formation au sein des institutions et organes de lrsquoUnion que nous avons organiseacutees ou co-organiseacutees (ateliers reacuteunions confeacuterences formations et seacuteminaires) Mesure par rapport agrave lrsquoobjectif
4 formations4 ateliers (dont 3 en coopeacuteration avec le secteur ITP)
8 ateliers + formations
ICP 3 Niveau de satisfaction des DPDCPD par rapport aux formations et aux orientationsMesure enquecircte de satisfaction aupregraves des DPDCPD reacutealiseacutee agrave chaque fois qursquoune formation est organiseacutee ou que des orientations sont publieacutees
Formation de base pour les DPD 70 de reacuteactions positives Formation du personnel de lrsquoAED 92 de reacuteactions positives
60 de reacuteactions positives
ICP 4 Nombre drsquoavis formels et informels formuleacutes agrave lrsquoendroit du leacutegislateurMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
Avis 20Observations formelles 13Observations informelles 33
2013 sert de valeur de reacutefeacuterence
ICP 5 Taux drsquoexeacutecution des dossiers dans notre inventaire de politiques devant faire lrsquoobjet drsquoune actionMesure pourcentage drsquoinitiatives laquodans le rougeraquo (pour lesquelles le deacutelai de soumission drsquoobservations est arriveacute agrave eacutecheacuteance) mises en œuvre comme preacutevu dans lrsquoinventaire 2013
90 (1820) 90
ICP 6 Nombre drsquoaffaires traiteacutees par le groupe de travail laquoArticle 29raquo pour lesquelles le CEPD a apporteacute une contribution eacutecrite importanteMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
13 2013 sert de valeur de reacutefeacuterence
ICP 7 Nombre drsquoaffaires pour lesquelles des orientations sur les deacuteveloppements technologiques sont fourniesMesure par rapport agrave lrsquoobjectif
21 20
ICP 8 Nombre de visites sur le site Internet du CEPDMesure par rapport agrave lrsquoanneacutee preacuteceacutedente
293 029 (+ 63 par rapport agrave 2012)
2013 sert de valeur de reacutefeacuterence
ICP 9 Taux drsquoexeacutecution du budgetMesure nombre de paiements traiteacutes au cours de lrsquoanneacutee diviseacute par le budget annuel
847 85
ICP 10 Taux de mise en œuvre des formations destineacutees au personnel du CEPDMesure nombre de jours de formation effectifs diviseacute par le nombre estimeacute de jours de formation
85 80
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
7rapport annuel 2013 reacutesumeacute
Les ICP mesurent la mise en œuvre des objectifs strateacute-giques comme suit
1 Promouvoir une culture de protection des don-neacutees au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la responsabiliteacute du respect des exigences rela-tives agrave la protection des donneacutees
ICP ndeg 1 2 et 3 Tous les objectifs ont eacuteteacute atteints
2 Veiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exigences relatives agrave la protection des donneacutees et agrave ce que cette notion soit inteacutegreacutee aux nou-velles dispositions leacutegislatives
ICP ndeg 4 et 5 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 5 a eacuteteacute atteint Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 4
3 Ameacuteliorer la coopeacuteration avec les autoriteacutes chargeacutees de la protection des donneacutees notam-ment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protection des donneacutees au sein de lrsquoUnion
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 6
LrsquoICP ndeg 7 correspond aux objectifs strateacutegiques 1 2 et 3 Lrsquoobjectif a eacuteteacute atteint
4 Deacutevelopper une strateacutegie de communication efficace et creacuteative
Les reacutesultats de 2013 deacutetermineront lrsquoobjectif pour lrsquoICP ndeg 8
5 Ameacuteliorer lrsquoutilisation des ressources humaines financiegraveres techniques et organi-sationnelles du CEPD (au moyen de processus compeacutetences et connaissances approprieacutes)
ICP ndeg 9 et 10 Lrsquoobjectif correspondant agrave lrsquoICP ndeg 10 a eacuteteacute atteint
Nous nrsquoavons pas atteint lrsquoobjectif preacutevu pour lrsquoICP ndeg 9 Agrave cet eacutegard mecircme si nous avons accru notre taux drsquoexeacutecution du budget le reacutesultat final nrsquoa pas suffi pour remplir lrsquoobjectif en raison de la deacutecision de la Cour de justice relative agrave lrsquoajustement des salaires du personnel de lrsquoUnion europeacuteenne Si la Cour avait approuveacute lrsquoapproche proposeacutee par la Commission notre taux drsquoexeacutecution final (847 ) aurait eacuteteacute plus eacuteleveacute (872 ) et nous aurions atteint notre objectif
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
8
SUPERVISION ET MISE EN APPLICATION
Lrsquoune des tacircches principales du CEPD consiste agrave superviser de maniegravere indeacutependante les opeacuterations de traitement reacutealiseacutees par les institutions ou organes europeacuteens Le cadre juridique se fonde sur le regraveglement (CE) ndeg 452001 relatif agrave la protection des donneacutees qui eacutetablit diverses obligations pour les personnes qui traitent des donneacutees ainsi qursquoun certain nombre de droits en faveur des personnes dont les donneacutees agrave caractegravere personnel sont traiteacutees
Les missions de supervision vont du conseil et de lrsquoaide aux deacuteleacutegueacutes agrave la protection des donneacutees agrave la conduite drsquoenquecirctes en passant par le controcircle preacutealable des opeacuterations de traitement de donneacutees agrave risque et elles incluent les inspections sur place et le traitement des reacuteclamations En outre le CEPD peut conseiller lrsquoadministration de lrsquoUnion dans le cadre de consultations sur des mesures administratives ou par la publication de lignes directrices theacutematiques
Notre objectif strateacutegique Promouvoir une laquoculture de protection des don-neacuteesraquo au sein des institutions et organes de lrsquoUnion europeacuteenne de maniegravere agrave ce qursquoils soient au fait de leurs obligations et assument la respon-sabiliteacute du respect des exigences relatives agrave la pro-tection des donneacutees
Deacuteleacutegueacutes agrave la protection des donneacuteesToutes les institutions et tous les organes de lrsquoUnion euro-peacuteenne doivent posseacuteder au moins un deacuteleacutegueacute agrave la pro-tection des donneacutees (DPD) En 2013 cinq nouveaux DPD ont eacuteteacute nommeacutes tant dans les institutions et organes existants que dans de nouvelles agences ou entre-prises communes ce qui porte leur nombre total agrave 62 Il est important pour une supervision efficace drsquointeragir reacuteguliegraverement avec ces deacuteleacutegueacutes et leur reacuteseau Le CEPD a travailleacute en eacutetroite collaboration avec le laquoquatuor de DPDraquo composeacute de quatre DPD (Conseil Parlement euro-peacuteen Commission europeacuteenne et Centre de traduction des organes de lrsquoUnion europeacuteenne) qui coordonnent le reacuteseau des DPD Le CEPD a participeacute agrave la reacuteunion des DPD qui srsquoest tenue en mars agrave lrsquoObservatoire europeacuteen des dro-gues et des toxicomanies agrave Lisbonne et a accueilli une
autre reacuteunion agrave Bruxelles en novembre Nous avons pro-fiteacute de ces reacuteunions pour fournir aux DPD des informations sur nos reacutecents travaux et leur donner un aperccedilu de lrsquoeacutevo-lution reacutecente de la protection des donneacutees dans lrsquoUnion
Controcircles preacutealablesLe regraveglement (CE) ndeg 452001 dispose que toutes les opeacute-rations de traitement de donneacutees agrave caractegravere person-nel susceptibles de preacutesenter des risques particuliers au regard des droits et liberteacutes des personnes concerneacutees sont soumises au controcircle preacutealable du CEPD Ce dernier deacutetermine alors si le traitement est conforme ou non au regraveglement
En 2013 le nombre de notifications de controcircle preacutea-lable a connu une augmentation Cette augmentation srsquoexplique principalement par le deacutelai fixeacute agrave juin 2013 pour la soumission des notifications de controcircle preacutea-lable ex post concernant les opeacuterations de traitement deacutejagrave en cours Mecircme si eu eacutegard agrave ces cas examineacutes a poste-riori le CEPD nrsquoest pas tenu de respecter le deacutelai de deux mois pour lrsquoadoption drsquoun avis nous nous sommes effor-ceacutes drsquoeacutemettre nos avis dans de brefs deacutelais La hausse du nombre drsquoavis eacutemis au cours de lrsquoanneacutee soit 91 avis de controcircle preacutealable et 21 avis sur lrsquoabsence de controcircle preacute-alable reacutesulte eacutegalement du nombre eacuteleveacute de notifica-tions reccedilues agrave savoir 272 Nous avons continueacute agrave assurer le suivi des recommandations formuleacutees dans les avis anteacute-rieurs du CEPD relatifs aux controcircles preacutealables et nous avons pu clocircturer un nombre consideacuterable de cas
Controcircle de la conformiteacuteEn juin 2012 nous avons lanceacute une enquecircte sur la fonction de CPD agrave la Commission europeacuteenne Les reacutesultats ont eacuteteacute publieacutes dans un rapport en janvier 2013
Les reacutesultats reacutevegravelent des dispariteacutes importantes au niveau des ressources alloueacutees agrave la fonction par les direc-tions geacuteneacuterales les CPD consacrent entre 5 et 100 de leur temps agrave leur fonction de CPD Lrsquoune des principales conclusions agrave laquelle aboutit notre rapport est que pour preacuteserver lrsquoutiliteacute de cette fonction il est neacutecessaire drsquoeacuteta-blir des critegraveres minimaux qui doivent ecirctre remplis par les directions geacuteneacuterales Nous avons eacutegalement mis en eacutevidence les bonnes pratiques appliqueacutees par certaines directions geacuteneacuterales telles que la creacuteation drsquoune messa-gerie fonctionnelle qui peut ecirctre utiliseacutee pour consulter le CPD Le rapport nous a permis de manifester notre soutien agrave la fonction de CPD dans la mesure ougrave elle participe agrave la bonne gouvernance
Le 17 juin 2013 nous avons lanceacute notre quatriegraveme eacutetat des lieux geacuteneacuteral (laquoEnquecircte 2013raquo) afin de deacuteterminer les progregraves accomplis dans la mise en œuvre du regraveglement dans lrsquoensemble des 62 institutions et organes Outre les
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
9rapport annuel 2013 reacutesumeacute
questions examineacutees dans le cadre des enquecirctes preacute-ceacutedentes (nombre de notifications au DPD nombre de controcircles preacutealables etc) nous avons demandeacute des ren-seignements sur les formations proposeacutees au person-nel en matiegravere de protection des donneacutees sur les clauses contractuelles applicables aux sous-traitants sur la partici-pation du DPD agrave la conception de nouvelles opeacuterations de traitement et sur les transferts de donneacutees agrave des destina-taires non soumis aux dispositions nationales drsquoexeacutecution de la directive 9546CE
Des enquecirctes geacuteneacuterales nous permettent de deacutetermi-ner les organes dont les performances sont insuffisantes et de prendre des mesures speacutecifiques pour reacutesoudre les problegravemes Les reacutesultats de lrsquoenquecircte seront publieacutes deacutebut 2014
ReacuteclamationsLrsquoune des tacircches principales du CEPD telle qursquoeacutetablie par le regraveglement sur la protection des donneacutees consiste agrave entendre et agrave examiner les reacuteclamations ainsi qursquoagrave effec-tuer des enquecirctes soit de sa propre initiative soit sur la base drsquoune reacuteclamation
Le CEPD a reccedilu 78 reacuteclamations en 2013 soit une diminu-tion drsquoenviron 9 par rapport agrave 2012 ce qui confirme lrsquoef-ficaciteacute du formulaire de deacutepocirct de reacuteclamation en ligne pour reacuteduire le nombre des reacuteclamations irrecevables Sur ce total 48 reacuteclamations ont eacuteteacute jugeacutees irrecevables la majoriteacute portant sur un traitement au niveau national et non au niveau drsquoune institution ou drsquoun organe de lrsquoUnion europeacuteenne
Les 30 reacuteclamations restantes ont neacutecessiteacute une enquecircte approfondie ce qui a repreacutesenteacute une diminution de 25 par rapport agrave 2012 De plus 20 reacuteclamations recevables deacuteposeacutees les anneacutees preacuteceacutedentes (deux en 2009 une en 2010 quatre en 2011 et 13 en 2012) en eacutetaient tou-jours agrave la phase de lrsquoenquecircte de lrsquoexamen ou du suivi au 31 deacutecembre 2013
Consultation sur des mesures administrativesLrsquoobjectif de notre politique relative aux consultations dans le domaine de la supervision et de la mise en appli-cation adopteacutee en novembre 2012 est de fournir aux ins-titutions et organes de lrsquoUnion europeacuteenne ainsi qursquoaux DPD des orientations concernant les consultations du CEPD conformeacutement agrave lrsquoarticle 28 paragraphe 1 etou agrave lrsquoarticle 46 point d) du regraveglement Comme indiqueacute dans le document nous encourageons les responsables du trai-tement agrave nous consulter dans des cas particuliers et limi-teacutes ougrave ce traitement a) preacutesente un caractegravere novateur ou une certaine complexiteacute qui font que lrsquoinstitution ou le DPD est incertain de la marche agrave suivre ou b) a une
incidence manifeste sur les droits des personnes concer-neacutees que ce soit en raison des risques inheacuterents aux acti-viteacutes de traitement ou en raison de lrsquoeacutetendue de la mesure envisageacutee
En principe le CEPD ne prend en consideacuteration que les consultations qui ont drsquoabord eacuteteacute soumises pour consul-tation au deacuteleacutegueacute agrave la protection des donneacutees de lrsquoinsti-tution concerneacutee (article 24 paragraphe 3 du regraveglement inteacuterieur du CEPD) En 2013 nous avons reccedilu 37 consul-tations sur des mesures administratives Des questions diverses ont eacuteteacute abordeacutees lors de ces consultations y compris les transferts de donneacutees sur le personnel aux repreacutesentations permanentes de lrsquoUnion la limitation des finaliteacutes et lrsquoaccegraves du public agrave des documents contenant des donneacutees agrave caractegravere personnel
Lignes directrices horizontalesEn 2013 le CEPD a reccedilu de nombreuses notifications de controcircle preacutealable soumises par des institutions et organes de lrsquoUnion europeacuteenne au sujet de nos lignes directrices concernant le traitement des donneacutees agrave carac-tegravere personnel en matiegravere de congeacute et drsquohoraire flexible Ces notifications nous ont permis drsquoanalyser avec plus de preacutecision la mise en œuvre des lignes directrices Plu-tocirct que drsquoadopter un avis geacuteneacuteral couvrant lrsquoensemble des notifications reccedilues nous avons adopteacute des avis speacute-cifiques pour chaque agence portant sur les opeacuterations de traitement en matiegravere de congeacute et drsquohoraire flexible en geacuteneacuteral et nous avons concentreacute notre analyse sur les divergences observeacutees entre les opeacuterations de traitement et les lignes directrices
En juin 2013 nous avons publieacute des lignes directrices sur le traitement des informations agrave caractegravere personnel dans le contexte des marcheacutes publics des subventions ainsi que de la seacutelection et lrsquoutilisation drsquoexperts externes En outre afin drsquoassurer le suivi des lignes directrices de 2011 relatives agrave lrsquoeacutevaluation du personnel nous avons reacutealiseacute en juin 2013 une enquecircte sur la conservation des infor-mations agrave caractegravere personnel dans le cadre drsquoune eacuteva-luation Un questionnaire a eacuteteacute transmis aux participants agrave notre atelier de 2012 sur la conservation des donneacutees pour recueillir aupregraves drsquoexperts en ressources humaines et de responsables de la gestion documentaire des informa-tions sur les raisons justifiant les deacutelais en vigueur et sur le stockage sur fichiers eacutelectroniques
Nous avons eacutegalement organiseacute une formation de base pour les nouveaux DPD sur la proceacutedure de controcircle preacute-alable une formation speacuteciale destineacutee aux DPD de cinq entreprises communes de lrsquoUnion des ateliers pour les responsables du traitement agrave lrsquoETF et agrave lrsquoAED ainsi que des ateliers geacuteneacuteraux relatifs agrave la communication eacutelectro-nique agrave lrsquoutilisation de dispositifs mobiles sur le lieu de travail et aux sites Internet geacutereacutes par des institutions et organes de lrsquoUnion europeacuteenne
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
10
POLITIQUE LEacuteGISLATIVE ET CONSULTATION
Le CEPD conseille les institutions et les organes de lrsquoUnion europeacuteenne sur les questions de protection des donneacutees dans toute une seacuterie de domaines drsquoactiviteacute Ce rocircle consultatif concerne les propositions de nouveaux textes leacutegislatifs ainsi que drsquoautres initiatives susceptibles drsquoavoir une incidence sur la protection des donneacutees agrave caractegravere personnel dans lrsquoUnion Si cette consultation prend geacuteneacuteralement la forme drsquoun avis formel le CEPD peut eacutegalement fournir des orientations sous la forme drsquoobservations ou de documents strateacutegiques
Notre objectif strateacutegiqueVeiller agrave ce que le leacutegislateur europeacuteen (Com-mission Parlement et Conseil) connaisse les exi-gences relatives agrave la protection des donneacutees et integravegre cette notion aux nouvelles dispositions leacutegislatives
Tendances principalesLrsquoanneacutee 2013 a elle aussi eacuteteacute marqueacutee par des eacutevolutions majeures dans le domaine de la protection des donneacutees dont deux ont eu des incidences significatives sur nos activiteacutes
Le deacutebat susciteacute par les reacuteveacutelations drsquoEdward Snowden a mis en eacutevidence les meacutethodes de surveillance de masse dans lrsquoUnion et aux Eacutetats-Unis Ces reacuteveacutelations ont grande-ment contribueacute agrave sensibiliser lrsquoopinion publique aux ques-tions lieacutees agrave la vie priveacutee et agrave la protection des donneacutees et elles nous ont permis de conseiller le leacutegislateur de lrsquoUnion et drsquoautres parties inteacuteresseacutees
La reacuteforme des regravegles en vigueur en matiegravere de protection des donneacutees dans lrsquoUnion a eacuteteacute lrsquoautre thegraveme dominant de lrsquoanneacutee Ce projet a constitueacute lrsquoune de nos prioriteacutes en 2013 et il le restera agrave mesure que la proceacutedure leacutegislative se poursuit
Outre ces sujets et dans le prolongement de la tendance observeacutee les anneacutees preacuteceacutedentes les domaines couverts par nos avis ont continueacute de se diversifier en 2013 Hor-mis les prioriteacutes traditionnelles telles que la poursuite du deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice (ELSJ) ou les transferts internationaux de donneacutees de nouveaux domaines apparaissent comme la strateacutegie numeacuterique et lrsquointernet ainsi que les questions financiegraveres et les services de santeacute en ligne
En 2013 le nombre drsquoavis que nous avons eacutemis a connu une leacutegegravere diminution par rapport agrave la hausse constante enregistreacutee les anneacutees preacuteceacutedentes Cette diminution srsquoex-plique en grande partie par le fait que nous nous sommes concentreacutes efficacement sur nos prioriteacutes strateacutegiques notamment sur la reacutevision du cadre en matiegravere de pro-tection des donneacutees Le CEPD a eacutemis 20 avis 13 observa-tions formelles et 33 observations informelles sur toute une seacuterie de thegravemes Gracircce agrave ces avis et aux autres instru-ments utiliseacutes dans nos interventions nous avons mis en œuvre les prioriteacutes du CEPD pour 2013 telles que deacutefinies dans notre inventaire
Avis du CEPD et questions cleacutesAgrave la suite des nombreuses activiteacutes entreprises dans le cadre de la reacuteforme de la protection des donneacutees dans lrsquoUnion en 2012 et de notre avis de mars 2012 nous avons adresseacute des observations suppleacutementaires au Parlement europeacuteen agrave la Commission europeacuteenne et au Conseil le 15 mars 2013 Ces observations portaient sur des points particuliers neacutecessitant des eacuteclaircissements et reacutepon-daient eacutegalement aux modifications proposeacutees par les commissions compeacutetentes du Parlement europeacuteen
Des progregraves importants ont eacuteteacute accomplis notamment le vote favorable rendu le 21 octobre 2013 par la commission LIBE concernant le rapport du Parlement europeacuteen mais le processus politique au sein du Parlement europeacuteen nrsquoest pas encore acheveacute eacutetant donneacute que la prochaine et derniegravere eacutetape de la premiegravere lecture du Parlement est un vote en pleacuteniegravere
Au Conseil les progregraves sont resteacutes plus limiteacutes Les neacutego-ciations entre les Eacutetats membres se poursuivent sur des volets importants du cadre leacutegislatif tels que le meacuteca-nisme de guichet unique et lrsquoideacutee drsquoadopter un paquet leacutegislatif composeacute drsquoun regraveglement et drsquoune directive parmi drsquoautres questions sensibles drsquoun point de vue poli-tique et complexes sur le plan juridique
Au cours de lrsquoanneacutee 2013 nous avons continueacute de conseil-ler le Parlement europeacuteen et le Conseil et nous avons par-ticipeacute aux discussions Nous avons eacutegalement contribueacute au lancement du processus de reacutevision du regraveglement (CE) ndeg 452001 qui reacutegit le traitement des donneacutees par les ins-titutions europeacuteennes en adressant agrave la Commission une lettre exprimant nos positions initiales
La strateacutegie numeacuterique et lrsquointernet ont eacuteteacute abordeacutes dans plusieurs de nos avis Notre message premier eacutetait que pour renforcer la confiance des consommateurs il convient de garantir aux utilisateurs le respect de leurs droits agrave la vie priveacutee agrave la confidentialiteacute de leurs commu-nications et agrave la protection de leurs informations agrave carac-tegravere personnel Dans notre avis sur la communication de la Commission intituleacutee laquoUne strateacutegie numeacuterique pour lrsquoEu-rope faire du numeacuterique un moteur de la croissance euro-peacuteenneraquo nous avons eacutegalement insisteacute sur le principe de
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
11rapport annuel 2013 reacutesumeacute
protection des donneacutees degraves la phase de conception et sur la neacutecessiteacute de disposer drsquoune base juridique adeacutequate pour lrsquoeacutechange de donneacutees entre bases de donneacutees En outre nous avons fait reacutefeacuterence aux orientations globales en matiegravere de protection des donneacutees dans le contexte de lrsquoinformatique en nuage eacutelaboreacutees par les APD et le CEPD afin drsquoaccroicirctre la confiance des particuliers et des clients dans ces nouvelles technologies ce qui permettra ensuite leur deacuteploiement fructueux
Dans notre avis relatif au marcheacute unique europeacuteen des com-munications eacutelectroniques nous avons signaleacute que les mesures proposeacutees eacutetaient de nature agrave restreindre inducirc-ment la liberteacute de lrsquointernet Nous avons salueacute lrsquoinclusion du principe de neutraliteacute de lrsquointernet dans le texte crsquoest-agrave-dire la transmission impartiale drsquoinformations sur lrsquointer-net mais nous avons eacutegalement indiqueacute qursquoil eacutetait deacutenueacute de substance compte tenu du droit quasi illimiteacute dont dis-pose les fournisseurs en matiegravere de gestion du trafic sur lrsquointernet Nous avons eacutegalement mis en garde contre lrsquoap-plication de mesures hautement intrusives pour la vie pri-veacutee sous le couvert de la reacutepression peacutenale ou aux fins de filtrer des contenus illeacutegaux en vertu du droit national ou europeacuteen des mesures qui sont incompatibles avec le principe de lrsquointernet ouvert
Dans notre avis sur un Livre vert intituleacute laquoSe preacuteparer agrave un monde audiovisuel totalement convergent croissance creacutea-tion et valeursraquo nous avons souligneacute que les nouveaux modes de distribution et de consommation drsquoœuvres audiovisuelles donnent lieu agrave de nouvelles formes de col-lecte et de traitement des informations agrave caractegravere per-sonnel des utilisateurs sans que ces derniers en soient conscients ni qursquoils puissent controcircler leurs informa-tions Nous avons insisteacute sur la neacutecessiteacute de garantir une transparence complegravete vis-agrave-vis des utilisateurs en ce qui concerne le consentement la collecte de donneacutees et les types de donneacutees agrave caractegravere personnel
Dans le domaine de lrsquoELSJ nous avons eacutemis des avis rela-tifs agrave Europol dans lesquels nous avons souligneacute qursquoun cadre solide de protection des donneacutees est non seule-ment important pour les personnes concerneacutees mais qursquoil contribue eacutegalement agrave une coopeacuteration policiegravere et judi-ciaire fructueuse Nous avons eacutegalement eacutemis des avis sur la strateacutegie de lrsquoUnion en matiegravere de cyberseacutecuriteacute dans lesquels nous avons deacuteclareacute que les modaliteacutes drsquoapplica-tion concregravete des principes de protection des donneacutees restaient floues si la cyberseacutecuriteacute vise agrave favoriser la pro-tection des donneacutees agrave caractegravere personnel dans lrsquoenviron-nement en ligne elle ne saurait cependant servir drsquoexcuse agrave lrsquoanalyse et au controcircle illimiteacutes des informations agrave carac-tegravere personnel des particuliers
Dans notre avis relatif aux propositions de la Commission concernant la creacuteation drsquoun systegraveme de frontiegraveres intel-ligentes pour les frontiegraveres exteacuterieures de lrsquoUnion nous avons consideacutereacute que lrsquoun des objectifs annonceacutes des pro-positions eacutetait le remplacement du systegraveme en vigueur qualifieacute de laquolent et peu fiableraquo mais les eacutevaluations de la Commission nrsquoindiquent nullement que la solution de remplacement sera suffisamment efficace pour justi-fier les deacutepenses et les intrusions dans la vie priveacutee Dans notre avis sur lrsquoaccord UE-Canada relatif aux donneacutees des dossiers passagers (PNR) nous nous sommes une nouvelle fois interrogeacutes sur la neacutecessiteacute et la proportionnaliteacute des reacutegimes PNR et sur les transferts importants de donneacutees PNR vers des pays tiers
Dans notre avis sur le modegravele europeacuteen drsquoeacutechange drsquoinfor-mations nous avons insisteacute sur la neacutecessiteacute de proceacuteder
agrave une eacutevaluation complegravete des initiatives et instruments existants dans le domaine de la justice et des affaires inteacute-rieures ce qui devrait aboutir agrave une strateacutegie europeacuteenne globale inteacutegreacutee et bien structureacutee en matiegravere de gestion des informations et des eacutechanges
En ce qui concerne le marcheacute inteacuterieur un nombre crois-sant de propositions sont avanceacutees dans le but drsquoharmoni-ser le secteur financier et de le soumettre agrave une supervision centrale Eacutetant donneacute que nombre de ces propositions ont des incidences sur la vie priveacutee et sur la protection des donneacutees nous avons assureacute un suivi et une surveillance eacutetroite agrave leur eacutegard en 2013 Nous avons publieacute des avis sur la lutte contre le blanchiment de capitaux et le finan-cement du terrorisme sur les paiements dans le marcheacute inteacuterieur sur le droit europeacuteen des socieacuteteacutes et la gouver-nance drsquoentreprise ainsi que sur la facturation eacutelectro-nique dans le cadre des marcheacutes publics
Dans le mecircme ordre drsquoideacutees on constate une tendance croissante agrave inteacutegrer les technologies numeacuteriques dans le cadre des services de santeacute ce qui pose des risques pour la protection des donneacutees et la vie priveacutee Dans le domaine des services de santeacute en ligne lrsquoaccent a eacuteteacute mis sur les dispositifs meacutedicaux les preacutecurseurs de drogues et sur le plan drsquoaction pour la santeacute en ligne
Affaires judiciairesEn 2013 le CEPD est intervenu dans plusieurs affaires por-teacutees devant la Cour de justice de lrsquoUnion europeacuteenne et le Tribunal de la fonction publique
Le CEPD a preacutesenteacute une plaidoirie lors drsquoune audience devant la grande chambre de la Cour de justice dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Lrsquoaudience concernait les affaires jointes Digital Rights Ireland (C-29312) et Seitlinger ea (C-59412) Ces deux affaires portent sur la validiteacute de la directive 200624CE sur la conservation des donneacutees
Crsquoeacutetait la premiegravere fois que la Cour invitait la CEPD agrave com-paraicirctre agrave une audience dans le cadre drsquoune proceacutedure de renvoi preacutejudiciel Pour le CEPD il srsquoagissait drsquoune eacutetape importante susceptible drsquoaboutir agrave une deacutecision histo-rique sur une question que nous suivons attentivement depuis plusieurs anneacutees
Le CEPD a plaideacute dans lrsquoaffaire Commission europeacuteenne contre Hongrie (C-28812) Cette affaire est la troisiegraveme proceacutedure drsquoinfraction relative agrave lrsquoindeacutependance des auto-riteacutes chargeacutees de la protection des donneacutees les deux autres proceacutedures eacutetant les affaires Commission euro-peacuteenne contre Autriche (C-61410) et Commission euro-peacuteenne contre Allemagne (C-51807) dans lesquelles des arrecircts ont respectivement eacuteteacute rendus en 2012 et en 2010
Drsquoautres affaires dans lesquelles le CEPD est intervenu sont toujours en instance notamment Pachtitis contre Commission europeacuteenne et EPSO (T-37407) Pachtitis contre Commission europeacuteenne (F-3508) ZZ contre BEI (F-10311) ainsi que Dennekamp contre Parlement euro-peacuteen (T-11513)
En octobre 2013 le CEPD a demandeacute le droit drsquointerve-nir dans deux autres affaires Elmaghraby et El Gazaerly contre Conseil de lrsquoUnion europeacuteenne (T-31913) et CN contre Parlement europeacuteen (T-34313)
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
12
COOPEacuteRATION
Le CEPD coopegravere avec drsquoautres autoriteacutes chargeacutees de la protection des donneacutees afin de promouvoir une protection des donneacutees coheacuterente dans toute lrsquoEurope Ce rocircle srsquoeacutetend eacutegalement agrave la coopeacuteration avec les organes de controcircle institueacutes dans le cadre de lrsquoancien laquotroisiegraveme pilierraquo de lrsquoUnion et dans le contexte des systegravemes informatiques agrave grande eacutechelle
Notre objectif strateacutegiqueAmeacuteliorer la coopeacuteration avec les autoriteacutes char-geacutees de la protection des donneacutees notamment le groupe de travail laquoArticle 29raquo afin de garantir une coheacuterence accrue dans le domaine de la protec-tion des donneacutees au sein de lrsquoUE
Le groupe de travail laquoArticle 29raquo est composeacute de repreacutesen-tants des autoriteacutes nationales de protection des donneacutees (APD) du CEPD et de la Commission (cette derniegravere assure eacutegalement le secreacutetariat du groupe de travail) Il joue un rocircle essentiel pour garantir lrsquoapplication homogegravene de la directive 9546CE
En 2013 nous avons continueacute de contribuer activement aux activiteacutes du groupe de travail laquoArticle 29raquo En particu-lier nous avons eacuteteacute eacutetroitement impliqueacutes en tant que rap-porteur ou corapporteur sur les avis relatifs agrave la limitation de la finaliteacute et agrave lrsquointeacuterecirct leacutegitime (sous-groupe laquoDisposi-tions-cleacutesraquo) lrsquoavis sur le modegravele drsquoanalyse drsquoimpact relative agrave la protection des donneacutees pour les reacuteseaux intelligents (sous-groupe laquoTechnologieraquo) et lrsquoavis relatif aux donneacutees ouvertes (sous-groupe laquoAdministration en ligneraquo)
La coopeacuteration directe avec les autoriteacutes nationales est eacutegalement importante pour les bases de donneacutees inter-nationales agrave grande eacutechelle telles qursquoEURODAC VIS SIS II et SID En 2013 nous avons fourni des services de secreacuteta-riat au nouveau groupe de coordination de la supervision de SIS II et nous avons continueacute de preacutesider les groupes de coordination drsquoEURODAC VIS et SID En 2013 nous avons organiseacute deux reacuteunions agrave Bruxelles pour chacun des groupes de coordination de supervision
Les modifications relatives agrave la supervision conjointe ont souleveacute des difficulteacutes Le nouveau regraveglement EURODAC a introduit des modifications importantes telles que la pos-sibiliteacute pour les autoriteacutes responsables de lrsquoapplication de la loi drsquoacceacuteder aux donneacutees drsquoEURODAC En outre SIS II est devenu opeacuterationnel Afin de reacuteduire les contraintes financiegraveres administratives et en matiegravere de deacuteplace-ments nous avons organiseacute des reacuteunions conseacutecutives des groupes de coordination de supervision et nous nous sommes efforceacutes drsquoeacutetablir des politiques de controcircle
horizontales et coheacuterentes concernant les systegravemes drsquoin-formation agrave grande eacutechelle le cas eacutecheacuteant
Le modegravele des groupes de coordination de supervision sera eacutelargi en 2014 par la creacuteation drsquoun groupe de coordi-nation de supervision drsquoIMI En 2013 nous avons consulteacute les APD et la Commission pour faire le point sur la situa-tion et sur les eacutevolutions du regraveglement IMI afin drsquoorgani-ser la premiegravere reacuteunion du groupe en 2014
Le modegravele de supervision conjointe est devenu une norme pour le leacutegislateur de lrsquoUnion et dans plusieurs propositions telles que celles sur Europol sur les frontiegraveres intelligentes sur Eurojust et sur le parquet europeacuteen la Commission a suggeacutereacute que ce modegravele soit utiliseacute
La coopeacuteration au sein de forums internationaux a conti-nueacute drsquoattirer lrsquoattention en particulier dans le cadre de la confeacuterence europeacuteenne et de la confeacuterence internatio-nale des commissaires agrave la protection des donneacutees et agrave la vie priveacutee En 2013 la confeacuterence europeacuteenne organiseacutee agrave Lisbonne eacutetait axeacutee sur les deacuteveloppements reacutecents dans la modernisation des cadres de protection des donneacutees de lrsquoUnion du Conseil de lrsquoEurope et de lrsquoOrganisation de coopeacuteration et de deacuteveloppement eacuteconomiques (OCDE) Les discussions ont plus speacutecifiquement porteacute sur les notions de donneacutees agrave caractegravere personnel de droits des personnes sur lrsquointernet et de seacutecuriteacute des informations
La confeacuterence internationale qui srsquoest tenue agrave Varsovie eacutetait axeacutee sur les reacuteformes en matiegravere de protection des donneacutees mises en place partout dans le monde sur lrsquoin-teraction avec les technologies ainsi que sur les rocircles et perspectives de diffeacuterents acteurs y compris les per-sonnes concerneacutees les responsables du traitement des donneacutees et les autoriteacutes de controcircle
Dans le cadre du Conseil de lrsquoEurope nous avons participeacute agrave trois reacuteunions du comiteacute consultatif de la Convention du Conseil de lrsquoEurope pour la protection des personnes agrave lrsquoeacutegard du traitement automatiseacute des donneacutees agrave carac-tegravere personnel Il eacutetait particuliegraverement important pour nous de participer agrave ces reacuteunions afin de pouvoir suivre et influencer la modernisation en cours de la Convention
Nous avons eacutegalement participeacute aux travaux du groupe drsquoexperts chargeacute de mettre agrave jour les lignes directrices de lrsquoOCDE sur la protection de la vie priveacutee
Nous avons par ailleurs apporteacute une contribution signi-ficative aux questions lieacutees agrave la protection des donneacutees dans plusieurs autres forums importants tels que la Coo-peacuteration eacuteconomique Asie-Pacifique (CEAP) lrsquoAssociation francophone des autoriteacutes de protection des donneacutees personnelles (AFAPDP) et le groupe de travail internatio-nal sur la protection des donneacutees dans les teacuteleacutecommuni-cations (Groupe de Berlin)
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
13rapport annuel 2013 reacutesumeacute
PRINCIPAUX OBJECTIFS POUR 2014
Les objectifs eacutenonceacutes ci-apregraves ont eacuteteacute seacutelectionneacutes pour 2014 dans le cadre de la strateacutegie geacuteneacuterale pour 2013-2014 Les reacutesultats obtenus figureront dans le rapport annuel 2014 publieacute en 2015
Supervision et mise en application
bull Orientations et formation
Les DPD et les CPD jouent un rocircle essentiel pour garan-tir la pleine responsabiliteacute Nous continuerons de deacuteve-lopper les formations et orientations destineacutees aux DPD et aux CPD et agrave favoriser des contacts eacutetroits avec les DPD et leur reacuteseau
Agrave cet eacutegard nous avons lrsquointention drsquoorganiser des activi-teacutes de formation pour les nouveaux DPD ainsi qursquoun ate-lier sur les droits des personnes concerneacutees et drsquoadopter des lignes directrices sur des sujets tels que la deacuteclara-tion drsquointeacuterecircts les transferts et la communication eacutelectro-nique Nous comptons eacutegalement mettre agrave jour les lignes directrices existantes en tenant compte des eacutevolutions reacutecentes Dans le cadre de notre plan de soutien aux DPD nous poursuivrons nos travaux sur le programme de cer-tification de lrsquoInstitut europeacuteen drsquoadministration publique (IEAP) pour les DPD
bull Visites
Au sein de lrsquoadministration de lrsquoUnion lrsquoengagement de la direction et la vigilance des personnes responsables du traitement des donneacutees constituent des conditions essentielles pour garantir le respect effectif de la protec-tion des donneacutees Nous continuerons drsquoinvestir des res-sources pour mener des actions de sensibilisation agrave tous les niveaux et pour obtenir lrsquoengagement de la direction principalement au moyen de visites
bull Renforcement du dialogue avec les institutions de lrsquoUnion europeacuteenne
Lrsquoune des difficulteacutes permanentes que nous rencontrons dans nos activiteacutes de supervision consiste agrave garantir le res-pect approprieacute des regravegles en matiegravere de protection des donneacutees en tenant compte des contraintes lieacutees agrave lrsquoadmi-nistration de lrsquoUnion Nous poursuivrons non seulement le dialogue avec les responsables du traitement des don-neacutees mais nous ameacuteliorerons eacutegalement la formulation de nos avis afin de promouvoir une application pragma-tique et pratique du regraveglement Nous veillerons par ail-leurs agrave ameacuteliorer la preacutesentation de nos avis afin de rendre leur contenu aussi accessible que possible
bull Inspections
Les inspections resteront un eacuteleacutement important de la poli-tique de conformiteacute et de mise en application du CEPD
sur la base des critegraveres deacutefinis dans notre strateacutegie drsquoins-pection adopteacutee en 2013
bull Suivi relatif agrave nos avis et deacutecisions
Ces derniegraveres anneacutees le nombre drsquoavis relatifs agrave des controcircles preacutealables a connu une augmentation consi-deacuterable en raison du deacutelai applicable aux controcircles preacute-alables ex post fixeacute agrave juin 2013 Le deacutefi pour 2014 consiste agrave faire en sorte que les recommandations formuleacutees dans ces avis soient effectivement suivies Ce sera le cas pour les controcircles preacutealables ainsi que pour les reacuteclamations les consultations sur des deacutecisions administratives les ins-pections et les visites
Politique leacutegislative et consultation
bull Nouveau cadre juridique de protection des donneacutees
Nous continuerons drsquointeragir avec lrsquoensemble des acteurs concerneacutes dans la proceacutedure leacutegislative destineacutee agrave lrsquoeacutelabo-ration drsquoun nouveau cadre juridique ainsi qursquoavec les par-ties prenantes et les parties inteacuteresseacutees agrave tous les niveaux afin de garantir une adoption rapide du paquet leacutegislatif
bull Reacutetablir la confiance dans les flux internationaux de donneacutees agrave la suite de lrsquoaffaire PRISM
Nous suivrons de pregraves lrsquoeacutevolution de lrsquoaffaire PRISM et apporterons notre contribution aux initiatives prises par les institutions de lrsquoUnion et notamment par la Commis-sion en vue de reacutetablir la confiance dans les flux interna-tionaux de donneacutees
bull Initiatives visant agrave soutenir la croissance eacuteconomique et la strateacutegique numeacuterique
La majeure partie des travaux preacutevus par la Commission dans le domaine de la socieacuteteacute de lrsquoinformation et des nou-velles technologies pour 2014 figuraient deacutejagrave dans le pro-gramme de travail de 2013 Une attention particuliegravere sera accordeacutee agrave lrsquoobjectif visant agrave soutenir la croissance eacutecono-mique dans lrsquoUnion Certaines des initiatives envisageacutees sont susceptibles de preacutesenter une pertinence particuliegravere pour la protection des donneacutees
bull Deacuteveloppement de lrsquoespace de liberteacute de seacutecuriteacute et de justice
Lrsquoanneacutee 2014 marquera la fin du programme pour lrsquoes-pace de liberteacute de seacutecuriteacute et de justice adopteacute en 2010 agrave Stockholm Une nouvelle seacuterie drsquoorientations strateacute-giques et une feuille de route pluriannuelle seront adop-teacutees elles incluront certaines politiques lanceacutees en 2013 qursquoil convient de reporter
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
14
bull Reacuteformes du secteur financier
Depuis le deacutebut de la crise eacuteconomique la Commission a entrepris une reacuteforme complegravete du regraveglement financier et du controcircle exerceacute agrave son eacutegard En 2013 nous avons suivi attentivement les eacutevolutions concernant la leacutegisla-tion financiegravere Hormis la proposition pour une laquonouvelle approche europeacuteenne en matiegravere de deacutefaillances et drsquoinsol-vabiliteacute des entreprisesraquo au sujet de laquelle nous pour-rions publier une observation ou un avis la majoriteacute des mesures preacutevues pour 2014 sont des eacuteleacutements qui figu-raient deacutejagrave dans le programme de 2013
bull Lutte contre la fraude fiscale et secteur bancaire
Dans le prolongement de la tendance observeacutee en 2013 les initiatives de lutte contre lrsquoeacutevasion fiscale et le secret bancaire eacutelaboreacutees au niveau de lrsquoUnion devraient avoir des reacutepercussions sur la protection des donneacutees Agrave lrsquoex-ception du cadre juridique de lrsquoUnion en matiegravere de TVA les politiques fiscales ne relegravevent pas des compeacutetences de lrsquoUnion Neacuteanmoins cette derniegravere soutient coordonne ou complegravete de plus en plus les actions entreprises par les Eacutetats membres en matiegravere de coopeacuteration administrative dans le domaine fiscal et exerce ainsi la compeacutetence qui lui est confeacutereacutee par lrsquoarticle 6 du traiteacute sur le fonctionne-ment de lrsquoUnion europeacuteenne
bull Autres initiatives
Dans le cadre de notre strateacutegie visant agrave promouvoir une culture de protection des donneacutees au sein des institu-tions et organes de lrsquoUnion europeacuteenne et agrave inteacutegrer le respect des principes de protection des donneacutees dans la leacutegislation et les politiques de lrsquoUnion y compris dans des domaines tels que la concurrence nous pourrions deacutecider drsquoeacutemettre des recommandations de notre propre initiative afin de contribuer aux deacutebats sur les eacutevolutions juridiques et sociales susceptibles drsquoavoir des incidences significa-tives sur la protection des donneacutees agrave caractegravere personnel En publiant ces avis preacuteliminaires nous espeacuterons lancer un dialogue eacuteclaireacute sur ces sujets importants ce qui pourrait permettre agrave un stade ulteacuterieur de formuler un avis com-plet et des recommandations
Coopeacuterationbull Supervision conjointe
Nous continuerons drsquoassumer notre rocircle de soutien dans la supervision conjointe drsquoEURODAC VIS et SID en eacutetroite collaboration avec les autoriteacutes des Eacutetats membres char-geacutees de la protection des donneacutees et nous renforcerons notre rocircle dans le cadre de SIS II En 2014 les premiegraveres mesures de supervision conjointe devraient eacutegalement porter sur lrsquoIMI
bull Groupe de travail laquoArticle 29raquo
Nous continuerons de contribuer activement aux activiteacutes et au deacuteveloppement du groupe de travail laquoArticle 29raquo en assurant coheacuterence et synergie entre le groupe de travail et nos propres activiteacutes conformeacutement agrave nos prioriteacutes res-pectives Nous maintiendrons eacutegalement nos bonnes rela-tions avec les APD nationales En tant que rapporteur sur certains dossiers particuliers nous continuerons de diri-ger et de preacuteparer lrsquoadoption des avis du groupe de tra-vail laquoArticle 29raquo
bull Organisations internationales
Les organisations internationales telles que le Conseil de lrsquoEurope et lrsquoOCDE jouent un rocircle important en matiegravere de normalisation et drsquoeacutelaboration de politiques dans dif-feacuterents domaines y compris la protection des donneacutees et les sujets qui y sont lieacutes En mecircme temps la plupart des organisations internationales ne sont pas soumises agrave la
leacutegislation relative agrave la protection des donneacutees dans leur pays drsquoaccueil et elles ne disposent pas toutes de leurs propres regravegles approprieacutees en matiegravere de protection des donneacutees Nous continuerons par conseacutequent drsquoeacutetablir des contacts avec les organisations internationales que ce soit pour participer agrave leurs travaux de normalisation et drsquoeacutela-boration de politiques ou pour les amener agrave participer agrave des ateliers de sensibilisation et drsquoeacutechange de bonnes pratiques
Politique ITLe suivi des eacutevolutions des technologies de lrsquoinformation qui ont des incidences sur la protection des donneacutees et les discussions correspondantes sur la politique en matiegravere de technologies et sur les eacutevolutions commerciales perti-nentes nous permettront de prendre davantage en consi-deacuteration les eacuteleacutements techniques dans le cadre de nos activiteacutes de supervision et dans nos observations relatives aux initiatives strateacutegiques de lrsquoUnion Par ailleurs nous continuerons de contribuer aux initiatives speacutecifiques visant agrave eacutevaluer et agrave garantir la seacutecuriteacute de certains sys-tegravemes IT de lrsquoUnion
bull Lignes directrices agrave lrsquointention des institutions de lrsquoUnion
Nous finaliserons nos lignes directrices relatives aux exi-gences juridiques et aux mesures techniques applicables agrave la protection des donneacutees agrave caractegravere personnel traiteacutees sur les sites Internet de lrsquoUnion au moyen de dispositifs mobiles et dans des environnements drsquoinformatique en nuage Ces lignes directrices serviront eacutegalement de base pour lrsquoeacutelaboration de meacutethodes et outils de controcircle systeacute-matique et reacutegulier dans ces domaines
bull Deacuteveloppement drsquoun internet respectueux de la vie priveacutee
Avec drsquoautres autoriteacutes de protection des donneacutees nous œuvrerons pour ameacuteliorer la communication entre les experts de la protection des donneacutees et les communauteacutes de deacuteveloppeurs au moyen drsquoateliers de confeacuterences et de groupes de travail speacutecifiques de sorte agrave favoriser une meilleure compreacutehension des besoins mutuels et agrave eacutelabo-rer des moyens concrets drsquointeacutegrer les exigences relatives agrave la protection des donneacutees et agrave la vie priveacutee dans les nou-veaux protocoles outils composants et services ainsi que dans les nouvelles applications Nous chercherons eacutegale-ment des moyens de garantir que la formation des nou-veaux ingeacutenieurs et deacuteveloppeurs integravegre davantage les notions de vie priveacutee et de protection des donneacutees Nous avons eacutegalement pour objectif de conseiller les agences de recherche sur le soutien qursquoelles peuvent apporter aux eacutevolutions technologiques respectueuses de la vie priveacutee
bull Infrastructure des technologies de lrsquoinformation
Pour reacutepondre agrave nos propres besoins IT nous continue-rons de renforcer lrsquoefficaciteacute de lrsquoinfrastructure et nous veil-lerons agrave ce qursquoelle respecte toutes les exigences relatives agrave la protection des donneacutees et agrave la seacutecuriteacute Nous continue-rons drsquoameacuteliorer nos proceacutedures internes et drsquointensifier la coopeacuteration avec nos prestataires de service Nous veille-rons eacutegalement agrave ce que les programmes drsquoapprentissage continu destineacutes au personnel du CEPD tiennent ducircment compte de la dimension IT
Autres domainesbull Information et communication
Conformeacutement agrave notre strateacutegie 2013-2014 nous conti-nuerons non seulement de sensibiliser agrave la protection des donneacutees dans lrsquoadministration de lrsquoUnion mais eacutegalement
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
15rapport annuel 2013 reacutesumeacute
drsquoinformer les particuliers de leurs droits fondamentaux en matiegravere de vie priveacutee et de protection des donneacutees Pour ce faire nous allons deacuteployer des efforts pour ameacutelio-rer la visibiliteacute du CEPD en tant qursquoexpert de la protection des donneacutees y compris dans la presse et dans lrsquoopinion publique afin drsquoobtenir tant la confiance du public que lrsquoengagement des institutions de lrsquoUnion
En 2014 nos activiteacutes de communication consisteront entre autres agrave mettre agrave jour notre site Internet et agrave creacuteer une section consacreacutee agrave nos observations en matiegravere de politique IT agrave reacuteexaminer et agrave mettre agrave jour les outils drsquoin-formation et de communication existants (publications site Internet etc) en vue du nouveau mandat du CEPD et agrave continuer drsquoemployer un langage simple pour rendre les questions techniques plus accessibles en incluant des exemples auxquels le grand public peut srsquoidentifier
bull Gestion des ressources et professionnalisation de la fonction RH
Lrsquoentreacutee en vigueur du nouveau statut des fonctionnaires en janvier 2014 entraicircnera la mise agrave jour de nombreuses mesures drsquoexeacutecution lieacutees agrave un ensemble de questions relatives aux ressources humaines (eacutevaluation gestion des congeacutes conditions de travail etc)
Nous poursuivrons les activiteacutes de ressources humaines commenceacutees en 2013 (eacutelaboration drsquoune politique drsquoap-prentissage et de deacuteveloppement plus strateacutegique et reacutevision du code de conduite) tout en entreprenant de nouvelles activiteacutes telles que lrsquoameacutelioration des proceacute-dures de recrutement
Les actuelles eacutequipes de ressources humaines et drsquoadmi-nistration seront fusionneacutees afin drsquoameacuteliorer les capaciteacutes en ressources humaines de lrsquoorganisation Nous veillerons agrave offrir au personnel les meilleures conditions de travail possibles dans les limites du statut des fonctionnaires afin que le CEPD continue drsquoecirctre consideacutereacute comme un lieu de travail ideacuteal doteacute drsquoun personnel tregraves motiveacute et impliqueacute
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
COMMENT VOUS PROCURER LES PUBLICATIONS DE LrsquoUNION EUROPEacuteENNE
Publications gratuitesbull un seul exemplaire
sur le site EU Bookshop (httpbookshopeuropaeu)
bull exemplaires multiplesposterscartes aupregraves des repreacutesentations de lrsquoUnion europeacuteenne (httpeceuropaeurepresent_frhtm) des deacuteleacutegations dans les pays hors UE (httpeeaseuropaeudelegationsindex_frhtm) en contactant le reacuteseau Europe Direct (httpeuropaeueuropedirectindex_frhtm) ou le numeacutero 00 800 6 7 8 9 10 11 (gratuit dans toute lrsquoUE) ()() Les informations sont fournies agrave titre gracieux et les appels sont geacuteneacuteralement gratuits (sauf certains opeacuterateurs
hocirctels ou cabines teacuteleacutephoniques)
Publications payantesbull sur le site EU Bookshop (httpbookshopeuropaeu)
Abonnementsbull aupregraves des bureaux de vente de lrsquoOffice des publications de lrsquoUnion europeacuteenne
(httppublicationseuropaeuothersagentsindex_frhtm)
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
QT-A
B-14-001-FR-C
Le Controcircleur Europeacuteen de la Protection des Donneacutees
Le gardien europeacuteen de la protection des donneacuteeswwwedpseuropaeu
EU_EDPS
