Contrôleur européen de la protection des données

organe indépendant de l'Union européenne, chargé de veiller à ce que les institutions et organes de l'UE respectent la législation et la jurisprudence en matière de protection des données

Le Contrôleur européen de la protection des données (CEPD) (en anglais European Data Protection Supervisor, EDPS) est une autorité de contrôle indépendante dépendant de l'Union européenne qui a pour mission première d’assurer que les institutions et organes européens respectent le droit à la vie privée et à la protection des données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles politiques.

Contrôleur européen
de la protection des données
Logo de l'organisation
Situation
Création Janvier 2004
Siège Bruxelles (Belgique)
Organisation
Base légale
Contrôleur Drapeau de la Pologne Wojciech Wiewiórowski

Site web edps.europa.eu

Le 6 décembre 2019, Wojciech Wiewiórowski a pris ses fonctions de contrôleur européen de la protection des données. Il a été nommé pour un mandat de cinq ans par décision conjointe du Parlement européen et du Conseil[1].

Le Règlement (UE) 2018/1725[2] définit les fonctions et les compétences du Contrôleur européen de la protection des données (Chapitre VI) ainsi que l’indépendance institutionnelle du CEPD en tant qu’autorité de contrôle. Il définit également les règles en matière de protection des données au sein des institutions de l’UE.

Dans la pratique, les activités du CEPD peuvent se diviser en trois fonctions principales: supervision, consultation et coopération.

Supervision

modifier

Dans la fonction de supervision, la principale activité consiste à superviser le traitement des données à caractère personnel effectué au sein des institutions et organes européens. Pour ce faire, le CEPD agit en partenariat avec le délégué à la protection des données (DPD) présent dans chaque institution et organe européen. Le DPD notifie au CEPD les opérations de traitement portant sur des données personnelles sensibles ou susceptibles de présenter d’autres risques particuliers. Le CEPD analyse ensuite ce traitement par rapport au règlement sur la protection des données et délivre un avis de contrôle préalable. Dans la majorité des cas, cet exercice donne lieu à une série de recommandations devant être appliquées par l’institution ou l’organe concerné afin d'assurer le respect des règles de protection des données.

En 2009, par exemple, le CEPD a adopté plus de cent avis de contrôle préalable, portant essentiellement sur des questions telles que les données médicales, l'évaluation du personnel, le recrutement, la gestion du temps de travail, les outils d’enregistrement téléphonique et les enquêtes de sécurité. Ces avis sont publiés sur le site web du CEPD et leur mise en œuvre fait l’objet d’un suivi systématique.

La mise en application du règlement sur la protection des données au sein de l’administration de l’UE est également soumise au strict contrôle d’un inventaire périodique d’indicateurs de performance, auquel participe la totalité des institutions et des organes européens. Outre cet exercice de contrôle général, le CEPD effectue des inspections sur place afin d’évaluer le niveau réel de conformité.

Dans sa fonction de supervision, le CEPD enquête également sur les réclamations soumises par des membres du personnel de l’UE ou par toute autre personne estimant que ses données à caractère personnel n’ont pas été traitées correctement par une institution ou un organe européen. À titre d'exemples, les réclamations peuvent porter sur des violations alléguées de la vie privée, l'accès aux données, le droit de rectification, l'effacement de données et la collecte excessive ou l'utilisation illégale de données par le responsable du traitement.

Le CEPD a également élaboré d’autres formes de supervision, telles que les conseils portant sur les mesures administratives et la rédaction de directives thématiques.

Consultation

modifier

Dans le cadre de sa fonction de consultation, le CEPD conseille la Commission européenne, le Parlement européen et le Conseil de l’Union européenne sur des questions relatives à la protection des données dans toute une série de domaines d’action. Ce rôle consultatif porte sur des propositions de nouvelle législation ainsi que sur d’autres initiatives pouvant affecter la protection des données personnelles au sein de l’UE. Cette activité se traduit généralement par un avis formel, mais le CEPD peut aussi fournir des conseils sous forme d’observations ou de documents stratégiques. Les développements technologiques ayant une incidence sur la protection des données sont également contrôlés dans le cadre de cette activité.

Parmi les questions importantes auxquelles le CEPD a récemment porté une attention particulière, citons l’accord TFTP-SWIFT sur l’accès aux informations financières, la révision de la directive « Vie privée et communications électroniques », les développements concernant le programme de Stockholm sur les politiques en matière de justice et d’affaires intérieures, l’examen des règlements de Dublin et d’Eurodac en matière d’asile et l’accès public aux documents.

Par ailleurs, le CEPD suit attentivement l’actuel réexamen du cadre juridique de la protection des données visant à moderniser la directive sur la protection des données[3] pour l’adapter à la mondialisation et aux nouveaux défis technologiques. La réalisation de cet objectif déterminant figurera en priorité à l’ordre du jour du CEPD dans les prochaines années.

Dans le cadre de sa fonction consultative, le CEPD intervient également dans des affaires portées devant la Cour de justice de l'Union européenne lorsqu’elles relèvent de ses compétences., Il est ainsi intervenu en juin 2009 dans une affaire concernant la relation entre transparence et protection des données[4].

Coopération

modifier

Le CEPD coopère avec d’autres autorités chargées de la protection des données afin de promouvoir une approche cohérente au niveau de la protection des données dans toute l’Europe.

La principale plate-forme de coopération entre les autorités chargées de la protection des données en Europe est celle du Groupe de travail de l’article 29 sur la protection des données. Le CEPD participe aux activités du Groupe, qui joue un rôle important dans l’application uniforme de la directive sur la protection des données. Le CEPD et le Groupe ont coopéré activement pour toute une série de questions, en particulier en ce qui concerne la mise en œuvre de la directive sur la protection des données et les nouveaux défis posés par les nouvelles technologies. Le CEPD a par ailleurs résolument soutenu les initiatives prises pour assurer que les flux de données internationaux respectent les principes européens en matière de protection des données.

L’une des tâches coopératives essentielles du CEPD porte sur Eurodac, où les responsabilités de supervision sont partagées avec des autorités de protection des données nationales.

Le CEPD collabore avec des autorités chargées de la protection des données au sein de l’ancien « troisième pilier » — secteur de la coopération policière et judiciaire — et avec le Groupe de travail « Police et justice ».

La coopération se traduit également par une participation à deux conférences annuelles importantes sur la protection des données : une conférence européenne qui réunit les autorités chargées de la protection des données au sein des États membres de l’UE et du Conseil de l’Europe, ainsi qu’une conférence internationale qui met en présence un vaste éventail d’experts en protection des données, issus des secteurs public et privé.

Mandats

modifier
Mandat Contrôleur Contrôleur adjoint
2004-2009 Peter Hustinx Joaquín Bayo Delgado
2009-2014 Peter Hustinx Giovanni Buttarelli
2014-2019 Giovanni Buttarelli Wojciech Wiewiórowski
08/2019-12/2019 Wojciech Wiewiórowski Wojciech Wiewiórowski
2020- Wojciech Wiewiórowski

Notes et références

modifier
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « European Data Protection Supervisor » (voir la liste des auteurs).
  1. « EDPS press release »
  2. « L_2018295FR.01003901.xml », sur eur-lex.europa.eu (consulté le )
  3. (directive 95/46/CE)
  4. (affaire "Bavarian Lager")

Voir aussi

modifier

Bibliographie

modifier

Textes législatifs

modifier

Documents du CEPD

modifier

Autres documents pertinents

modifier

Articles connexes

modifier

Liens externes

modifier