Communication de la Commission au Parlement européen et au Conseil - Promouvoir la protection des données par les technologies renforçant la protection de la vie privée

Lundi 2 janvier 2012, par webmaster // CADRE JURIDIQUE

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

Promouvoir la protection des données par les technologies renforçant la protection de la vie privée (Texte présentant de l’intérêt pour l’EEE)

1. INTRODUCTION

Le développement intensif et soutenu des technologies de l’information et de la communication (TIC) ne cesse d’offrir de nouveaux services qui améliorent la vie des citoyens. La matière première des interactions dans le cyberespace se compose, pour une large part, des données à caractère personnel des individus qui y évoluent lorsqu’ils achètent des biens et des services, lorsqu’ils nouent ou entretiennent des contacts avec d’autres personnes ou qu’ils communiquent leurs idées sur la toile mondiale. Même s’ils retirent des avantages de ces évolutions, les citoyens sont également exposés à de nouveaux risques, tels que le vol d’identité, l’établissement discriminatoire de profils, la surveillance permanente ou la tromperie.

L’article 8 de la Charte des droits fondamentaux de l’Union européenne reconnaît le droit à la protection des données à caractère personnel. Ce droit fondamental est mis en œuvre dans le cadre juridique européen relatif à la protection des données à caractère personnel, qui comprend, en particulier, la directive 95/46/CE relative à la protection des données[1], la directive 2002/58/CE relative à la vie privée et aux communications électroniques [2], ainsi que le règlement 45/2001 relatif aux traitements des données à caractère personnel par les institutions et organes communautaires[3]. Cette législation contient plusieurs dispositions de fond qui imposent des obligations au responsable du traitement des données et reconnait des droits à la personne concernée. Elle prescrit aussi des sanctions et des voies de recours adéquates en cas d’infraction et établit des mécanismes de contrôle pour que celles-ci soient effectives.

Cependant ce système peut s’avérer insuffisant, les données à caractère personnel étant disséminées dans le monde entier par l’intermédiaire des réseaux de TIC et leur traitement relevant de plusieurs juridictions, souvent en dehors de l’Union. En pareils cas, les règles actuelles peuvent être considérées comme applicables et comme fournissant une réponse juridique claire. En outre, une autorité de contrôle compétente pour mettre en œuvre les règles peut aussi être identifiée. Néanmoins des obstacles pratiques considérables peuvent exister découlant des difficultés propres à la technologie utilisée, laquelle implique le traitement de données par différents intervenants dans différents lieux. En outre, l’application des règles peut rencontrer des entraves inhérentes à l’exécution des décisions administratives et judiciaires dans un autre Etat, notamment dans les pays tiers.

Bien qu’à strictement parler, ce soient les responsables du traitement qui sont juridiquement responsables du respect des règles de protection des données, les personnes qui conçoivent les caractéristiques techniques et celles qui effectivement produisent ou mettent en œuvre des applications ou des systèmes d’exploitation, portent également une part de responsabilité à l’égard de la protection des données, sous l’angle des questions de société et d’éthique.

L’article 17 de la directive relative à la protection des données fait obligation au responsable du traitement de mettre en œuvre les mesures techniques et d’organisation appropriées pour assurer un niveau de sécurité approprié au regard de la nature des données et des risques présentés par leur traitement. L’usage des technologies pour favoriser le respect de la législation et, en particulier, des règles de protection des données, est déjà envisagée dans une certaine mesure dans la directive relative à la vie privée et aux communications électroniques[4].

Une étape supplémentaire sur la voie de l’objectif que poursuit le cadre juridique, à savoir limiter le traitement des données à caractère personnel et recourir autant que possible, à des données anonymes ou à des pseudonymes, pourrait être favorisée par des dispositifs appelés « technologies renforçant la protection de la vie privée », qui contribueraient à garantir que les infractions aux règles de protection des données et les violations des droits des individus soient des actes non seulement interdits et passibles de sanctions, mais aussi techniquement plus compliqués.

L’objet de la présente communication, qui fait suite au premier rapport sur la mise en œuvre de la directive relative à la protection des données[5], est d’examiner les avantages que présentent les technologies renforçant la protection de la vie privée, d’exposer les objectifs de la Commission dans ce domaine et de définir des actions précises pour atteindre ceux-ci, en soutenant le développement de ces technologies et leur utilisation par les responsables du traitement des données et les consommateurs.

2. QU’ENTEND-ON PAR « TECHNOLOGIES RENFORÇANT LA PROTECTION DE LA VIE PRIVÉE » ?

Les technologies renforçant la protection de la vie privée font l’objet de diverses définitions dans les milieux scientifiques et dans le cadre des projets pilotes qui y sont consacrés. Par exemple, selon le projet PISA financé par des fonds communautaires, elles désignent un dispositif cohérent de mesures dans le domaine des TIC, qui protège la vie privée en supprimant ou restreignant les données à caractère personnel, ou encore en évitant les traitements inutiles ou non souhaités de ces données, sans pour autant perdre la fonctionnalité du système d’information. Le recours aux technologies renforçant la protection de la vie privée permet de concevoir des systèmes et des services d’information et de communication qui réduisent la collecte et l’utilisation de données à caractère personnel et facilitent le respect des règles de protection des données. Dans son premier rapport sur la mise en œuvre de la directive relative à la protection des données, la Commission considère que « le recours à des mesures technologiques appropriées constitue un complément essentiel aux moyens juridiques et devrait faire partie intégrante de toutes les démarches visant à atteindre un niveau suffisant de protection de la vie privée ». Grâce à l’utilisation des technologies renforçant la protection de la vie privée, les infractions à certaines règles de protection des données devraient être plus difficiles à commettre ou plus faciles à détecter.

Dans l’univers dynamique des TIC, l’efficacité des différentes technologies renforçant la protection de la vie privée, notamment en ce qui concerne le respect de la législation relative à la protection des données, est variable et fluctue dans le temps. Leur typologie est également variée. Il peut s’agir d’outils autonomes qui nécessitent une intervention des consommateurs (qui doivent les acheter et les installer sur leur PC) ou d’outils intégrés dans l’architecture des systèmes d’information. Plusieurs exemples de ces technologies peuvent être évoqués à ce stade :

- L’anonymisation automatique des données, après un certain laps de temps, conforte le principe selon lequel les données traitées doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles ont été initialement collectées.

- L’obligation faite au responsable du traitement de prendre les mesures appropriées pour protéger les données à caractère personnel contre tout traitement illicite est respectée plus efficacement à l’aide de procédés de cryptage, qui empêchent le piratage lorsque les informations sont transmises sur l’internet.

- Les procédés anti-cookies, qui bloquent les cookies placées sur le PC pour faire exécuter à l’ordinateur certaines instructions à l’insu de l’utilisateur, étayent le principe selon lequel les données doivent être traitées loyalement et licitement, les personnes concernées devant être informées du traitement en cours.

- La plate-forme de préférences relatives à la protection de la vie privée (Platform for Privacy Preferences ou P3P), permettant aux internautes d’analyser les politiques de confidentialité des sites web et de les comparer avec leurs préférences quant aux informations dont ils souhaitent la diffusion, contribue à garantir que la personne concernée consente en toute connaissance de cause au traitement des données la concernant.

3. LA COMMISSION SOUTIENT LES TECHNOLOGIES RENFORÇANT LA PROTECTION DE LA VIE PRIVÉE

La Commission estime qu’il convient de développer les technologies renforçant la protection de la vie privée et de les utiliser plus largement, notamment dans le cadre du traitement de données à caractère personnel par l’intermédiaire de réseaux de TIC. La Commission considère qu’un usage plus large des technologies renforçant la protection de la vie privée améliorerait la protection de la vie privée et aiderait à observer les règles relatives à la protection des données. L’usage de ces technologies serait complémentaire au cadre juridique et aux mécanismes de contrôles existants.

Dans sa communication relative à une stratégie pour une société de l’information sûre (COM(2006) 251 du 31 mai 2006), elle invite notamment le secteur privé à « stimuler le déploiement de produits, de processus et de services améliorant la sécurité pour empêcher et combattre le vol d’identité et d’autres atteintes à la vie privée ». En outre, dans sa feuille de route relative à l’instauration d’un cadre européen d’e-ID d’ici 2010[6], elle indique que l’un des principes fondamentaux qui régissent la gestion de l’identité électronique est que « le système doit être sûr, il doit comporter les garanties nécessaires à la protection de la vie privée de l’utilisateur et permettre une adaptation de son mode d’utilisation aux intérêts et sensibilités locaux ».

L’intervention de différents acteurs dans le traitement des données et l’existence de diverses instances nationales pourraient entraver la mise en application du cadre juridique. Par ailleurs, les technologies renforçant la protection de la vie privée permettraient d’éviter certaines violations aux règles de protection des données - qui entraînent des atteintes aux droits fondamentaux, y compris le droit au respect de la vie privée -, car ces violations deviendraient techniquement plus difficiles à commettre. La Commission n’ignore pas que si elle joue un rôle déterminant dans la protection de la vie privée, la technologie ne suffit pas à elle seule pour garantir celle-ci. Les technologies renforçant la protection de la vie privée doivent être mises en œuvre conformément à un cadre réglementaire, qui comporte des règles applicables de protection des données offrant à tous les individus plusieurs niveaux négociables de protection de la vie privée. Le recours à ces technologies ne signifie pas que les opérateurs peuvent être exemptés de certaines de leurs obligations légales (par exemple, celle de permettre aux particuliers d’accéder à leurs données).

Le recours à ces technologies devrait également permettre de mieux servir les intérêts publics importants. Le cadre juridique de protection des données prévoit des restrictions aux principes généraux et des interférences avec les droits des individus lorsque des intérêts publics majeurs sont en jeu, tels que la sécurité publique, la lutte contre la criminalité ou la santé publique. Les conditions applicables à de telles restrictions sont énoncées à l’article 13 de la directive relative à la protection des données et à l’article 15 de la direction relative à la vie privée et aux communications électroniques. Elles sont similaires pour l’essentiel aux conditions que fixe l’article 8 de la convention européenne des droits de l’homme (CEDH) : l’ingérence doit être conforme à la loi et elle doit constituer une mesure proportionnée qui, dans une société démocratique, est nécessaire à des finalités publiques légitimes[7]. Le recours aux technologies renforçant la protection de la vie privée ne doit pas empêcher les services de répression ou d’autres autorités compétentes, d’intervenir dans l’exercice légal de leurs fonctions aux fins d’intérêts publics importants, par exemple, la lutte contre la cybercriminalité, contre le terrorisme ou la prévention de la propagation de maladies infectieuses. Pour atteindre ces objectifs, les autorités responsables doivent, si besoin est, être en mesure d’accéder aux données à caractère personnel, dans le respect des procédures, conditions et garanties prévues par la législation.

Un meilleur respect des règles de protection des données aurait également une incidence favorable sur la confiance que les consommateurs accordent en particulier au cyberespace. Un certain nombre de services prometteurs et à valeur ajoutée qui reposent sur des transferts de données à caractère personnel sur les réseaux informatiques – tels que les services d’enseignement, d’administration et de santé en ligne, la banque et le commerce électroniques ou « la voiture intelligence » - en tireraient sûrement avantage. Les particuliers pourraient être certains que les données qu’ils transmettent pour s’identifier, pour bénéficier de services ou pour effectuer des paiements, ne seront utilisées qu’à des fins légitimes et que leur participation à la communauté numérique ne se fait pas au détriment de leurs droits.

4. ACTIONS MENÉES ET À ENTREPRENDRE

Pour améliorer le niveau de protection de la vie privée et de protection des données dans l’Union, notamment en favorisant le développement et l’utilisation des technologies renforçant la protection de la vie privée, la Commission entend mener les actions suivantes, associant de nombreux acteurs, dont ses propres services, les autorités nationales, l’industrie et les consommateurs.

Les discussions dans ce cadre devront porter sur la situation particulière des petites et moyennes entreprises (PME) et sur leurs possibilités d’utiliser ces technologies, ainsi que sur les mesures les y encourageant. La Commission devrait également aborder, entre autres, la question de la confiance et de la sensibilisation, qui revêtent une importance particulière pour les PME.

4.1. Premier objectif : soutenir le développement des technologies renforçant la protection de la vie privée

Si l’usage des technologies renforçant la protection de la vie privée doit se généraliser, celles-ci doivent d’abord être conçues, développées et fabriquées. Bien que ces activités soient déjà menées dans une certaine mesure dans les secteurs public et privé, la Commission estime qu’il convient de les intensifier. À cette fin, il y a lieu de recenser les besoins liés à ces technologies et de définir les caractéristiques techniques de celles-ci. En outre, des activités de recherche et de développement doivent être menées sur les outils nécessaires.

4.1.1. Action 1.1. : recenser les besoins en matière de technologies renforçant la protection de la vie privée et définir les caractéristiques techniques de celles-ci

Ces technologies sont largement tributaires de l’évolution des TIC. Dès que l’on a cerné les dangers inhérents aux évolutions technologiques, il y a lieu de définir les caractéristiques pertinentes d’une solution technique.

La Commission encouragera les diverses catégories de parties intéressées à se rencontrer et à discuter de ces technologies. Ces catégories comprendront notamment les représentants du secteur des TIC, les développeurs de technologies renforçant la protection de la vie privée, les autorités responsables de la protection des données, les services de répression, les partenaires technologiques, notamment des experts des domaines concernés, tels que les services de santé en ligne ou la sécurité de l’information, les associations de défense des consommateurs et des droits civils. Les parties intéressées devraient régulièrement examiner l’évolution des technologies, repérer les dangers qu’elles comportent pour les droits fondamentaux et la protection des données et définir les impératifs techniques d’une solution fondée sur les technologies renforçant la protection de la vie privée. Ceci peut comprendre l’adaptation des mesures technologiques aux différents risques et aux diverses données en cause, en tenant compte de la nécessité de préserver les intérêts publics, tels que la sécurité publique.

4.1.2. Action 1.2. : développer les technologies renforçant la protection de la vie privée

Lorsque les besoins liés aux technologies renforçant la protection de la vie privée auront été recensés et que les caractéristiques techniques de celles-ci auront été définies, il y aura lieu de prendre des mesures concrètes pour parvenir à un produit fini prêt à l’emploi.

La Commission a déjà pris certaines mesures. Dans le cadre du 6ème programme-cadre, elle soutient le projet PRIME[8] qui s’attaque aux problèmes que posent la gestion de l’identité numérique et la protection de la vie privée dans la société de l’information. Le projet OPEN-TC[9] permettra une protection de la vie privée fondée sur des systèmes informatiques ouverts de confiance, tandis que le projet DISCREET[10] développe des intergiciels pour mettre en œuvre la protection de la vie privée dans les services de réseaux spécialisés. À l’avenir, dans le cadre du 7ème programme-cadre, la Commission entend soutenir d’autres projets de RDT, ainsi que des projets pilotes à grande échelle, afin de susciter et d’accentuer l’intérêt pour les technologies renforçant la protection de la vie privée. L’objectif est d’asseoir les bases de services de protection de la vie privée qui responsabilisent l’utilisateur, en remédiant aux disparités juridiques et techniques observées dans toute l’Europe, par l’intermédiaire de partenariats entre les secteurs public et privé.

La Commission en appelle également aux autorités nationales et au secteur privé pour qu’ils investissent dans le développement des technologies renforçant la protection de la vie privée. Ces investissements sont fondamentaux pour que l’industrie européenne prenne la tête d’un secteur voué à se développer à mesure que ces technologies seront de plus en plus imposées par les normes technologiques et que les consommateurs seront plus conscients de la nécessité de protéger leurs droits dans le cyberespace.

4.2. Deuxième objectif : encourager les responsables du traitement des données à utiliser les technologies disponibles en matière de renforcement de la vie privée

Les technologies en matière de renforcement de la protection de la vie privée ne donneront tout leur potentiel que si elles sont effectivement intégrées dans, et utilisées par, les équipements techniques et les logiciels qui exécutent le traitement des données à caractère personnel. Les participations du secteur industriel qui fabrique ces équipements et de celle des responsables du traitement des données qui s’en servent pour exercer leurs activités, sont donc essentielles.

4.2.1. Action 2.1. : encourager l’industrie à utiliser les technologies renforçant la protection de la vie privée

La Commission estime que toutes les parties intervenant dans le traitement de données à caractère personnel bénéficieraient d’une utilisation plus répandue de ces technologies. En tant que principal développeur et fournisseur des technologies renforçant la protection de la vie privée, l’industrie des TIC a un rôle particulièrement important à jouer dans la promotion de ces technologies. La Commission en appelle à tous les responsables du traitement pour qu’ils intègrent et mettent en œuvre plus largement et plus systématiquement ces technologies dans leurs procédures. À cette fin, elle organisera des séminaires rassemblant les acteurs clé de l’industrie des TIC, notamment les développeurs de technologies renforçant la protection de la vie privée, afin d’analyser leur éventuelle contribution à la promotion de l’utilisation de ces technologies auprès des responsables du traitement des données.

Elle procèdera également à une étude des avantages économiques de ces technologies, dont elle diffusera les résultats, pour encourager les entreprises, notamment les PME, à les utiliser.

4.2.2. Action 2.2. : veiller au respect de normes pertinentes lorsqu’il s’agit de protéger des données à caractère personnel au moyen de technologies renforçant la protection de la vie privée

Si la promotion à grande échelle nécessite la participation active de l’industrie des TIC en tant que producteur de technologies renforçant la protection de la vie privée, le respect de normes pertinentes nécessite l’adoption de mesures qui aillent au-delà de l’autoréglementation ou du bon vouloir des acteurs concernés. La Commission appréciera la nécessité d’élaborer des normes relatives au traitement licite de données à caractère personnel avec les technologies renforçant la vie privée, au moyen d’analyses d’impact appropriées. Deux types d’instrument pourraient être envisagés, en fonction des résultats de ces analyses :

- Action 2.2. a) Normalisation

La Commission examinera la nécessité de tenir compte du respect des règles de protection des données dans les mesures de normalisation. Elle s’efforcera de prendre en considération, d’une part, les contributions du débat multipartite sur les technologies renforçant la protection de la vie privée pour concevoir les actions qu’elle mènera dans ce domaine et, d’autre part, les travaux des organismes de normalisation européens. Cela sera essentiel, notamment lorsque le débat aura permis de définir des normes pertinentes pour la protection des données, nécessitant l’intégration et l’utilisation de certaines technologies renforçant la protection de la vie privée.

La Commission pourrait inviter les organismes de normalisation européens (CEN, CENELEC, ETSI) à recenser les besoins particuliers de l’Europe et à y répondre ensuite au niveau international, en appliquant les accords actuels entre les organismes européens et internationaux de normalisation. Le cas échéant, les organismes européens devraient établir un programme de travail spécifique en matière de normalisation, qui couvrirait les besoins européens et viendrait donc compléter les travaux en cours au niveau international.

- Action 2.2. b) Coordination des règlementations techniques nationales relatives aux mesures de sécurité applicables au traitement de données

Les législations nationales adoptées en vertu de la directive relative à la protection des données[11] confère aux autorités nationales compétentes un certain pouvoir pour déterminer les caractéristiques techniques précises, par exemple en formulant des orientations pour les responsables du traitement, en analysant les dispositifs en place ou en émettant des instructions techniques. Les autorités nationales chargées de la protection des données pourraient exiger d’intégrer et d’utiliser certaines technologies renforçant la protection de la vie privée lorsque le traitement de données à caractère personnel en question l’impose. La Commission estime qu’il s’agit d’un domaine où la coordination des pratiques nationales pourrait favorablement contribuer à la promotion de l’utilisation de ces technologies. En particulier, le groupe de travail « article 29 »[12] dont le rôle est de contribuer à l’application uniforme des mesures nationales adoptées en vertu de la directive, pourrait également contribuer à cette fin. La Commission invite donc le groupe de travail à poursuivre ses travaux dans ce domaine, en incluant dans son programme une activité permanente d’analyse des besoins en matière d’intégration des technologies renforçant la protection de la vie privée dans les opérations de traitement des données, un moyen efficace pour veiller au respect des règles de protection des données. Ces travaux devraient ensuite donner lieu à des orientations que les autorités chargées de la protection des données devraient mettre en œuvre en adoptant d’une manière coordonnée des instruments adéquats au niveau national.

4.2.3. Action 2.3. : encourager les pouvoirs publics à recourir aux technologies renforçant la protection de la vie privée

Les pouvoirs publics, tant au niveau national que communautaire, procèdent dans l’exercice de leurs attributions à de nombreuses opérations de traitement portant sur des données à caractère personnel. Ils sont eux-mêmes tenus de respecter les droits fondamentaux, notamment le droit à la protection des données à caractère personnel, et de veiller à ce qu’ils soient respectés par autrui. Ils devraient donc clairement montrer l’exemple.

En ce qui concerne les autorités nationales, la Commission observe que l’expansion des applications d’administration en ligne constitue un moyen d’améliorer l’efficacité du service public. Comme elle l’indique dans sa communication intitulée Le rôle de l’administration en ligne (eGovernment) pour l’avenir de l’Europe [13], le recours aux technologies renforçant la protection de la vie privée dans l’administration en ligne est nécessaire pour instaurer la confiance pour le succès de celle-ci. La Commission appelle les gouvernements à veiller à l’intégration de garanties assurant la protection des données dans les applications d’administration en ligne, y compris en recourant le plus largement possible aux technologies renforçant la protection de la vie privée lors de la conception et de la mise en œuvre de ces applications.

Quant aux institutions et organes communautaires, la Commission, pour ce qui la concerne, veillera à satisfaire aux exigences du règlement (CE) n° 45/2001, notamment en recourant plus largement aux technologies renforçant la protection de la vie privée, lorsqu’elle met en œuvre des applications TIC impliquant le traitement de données à caractère personnel. Parallèlement, elle invite les autres institutions de l’Union à faire de même. Le contrôleur européen de la protection des données pourrait, par l’intermédiaire des conseils qu’il prodigue aux institutions et organes communautaires, contribuer à l’élaboration de règles internes en matière de traitement de données à caractère personnel. Lorsqu’elle sélectionnera de nouvelles applications TIC pour son propre usage, ou lorsqu’elle développera des applications existantes, la Commission étudiera la possibilité d’y intégrer des technologies renforçant la protection de la vie privée. L’importance de ces technologies trouvera écho dans sa stratégie globale de gouvernance informatique. La Commission continuera également à sensibiliser son personnel. Cependant, la mise en œuvre de ces technologies dans les applications TIC de l’institution dépend de la disponibilité des produits correspondants et devra être évaluée au cas par cas, en fonction du stade de développement des applications.

4.3. Troisième objectif : encourager les consommateurs à utiliser les technologies renforçant la protection de la vie privée

Les consommateurs demeureront ceux qui devraient le plus veiller à l’utilisation correcte de leurs données à caractère personnel, à la bonne application des règles de protection des données et à l’efficacité de ces technologies à cet égard.

Les consommateurs devraient donc être pleinement informés des avantages que le recours à ces technologies présente pour limiter les risques que comportent les opérations qui nécessitent un traitement de leurs données à caractère personnel. Ils devraient également être mis en mesure de faire un choix éclairé lorsqu’ils achètent du matériel informatique et des logiciels ou qu’ils utilisent des services électroniques. Ceci devrait traduire leur connaissance des risques encourus, notamment si la technologie en cause offre une protection adéquate. Des informations simples et compréhensibles concernant les solutions technologiques offertes pour protéger la vie privée doivent donc être fournies aux utilisateurs. L’utilisation accrue des technologies renforçant la protection de la vie privée, ainsi que le recours croissant aux services électroniques qui intègrent ces technologies, procureront avec le temps des avantages économiques aux industries les utilisant, et pourront avoir un effet boule de neige, en incitant les autres entreprises à accorder davantage d’attention au respect des règles de protection des données. Pour atteindre cet objectif, il convient de prendre une série de mesures.

4.3.1. Action 3.1. : sensibiliser les consommateurs

Une stratégie cohérente doit être adoptée pour sensibiliser les consommateurs aux risques impliqués par le traitement de leurs données, ainsi qu’aux solutions que les technologies renforçant la protection de la vie privée sont susceptibles d’apporter, pour compléter les voies de recours prévues par la législation relative à la protection des données. La Commission entend lancer une série de mesures au niveau de l’Union de sensibilisation aux technologies renforçant la vie privée.

La responsabilité principale de la mise en œuvre de cette action est du ressort des autorités nationales chargées de la protection des données, qui possèdent déjà une expérience précieuse dans ce domaine. La Commission les invite à étendre leurs activités de sensibilisation à l’information en matière de technologies renforçant la protection de la vie privée, par tous les moyens à leur portée. La Commission demande également au groupe "Article 29" de coordonner les pratiques nationales dans un plan de travail cohérent sur l’amélioration de la connaissance des technologies de protection de la vie privée et de servir de point de rencontre pour le partage des bonnes pratiques déjà en place au niveau national. En particulier, les associations de défense des consommateurs et d’autres acteurs, tels que le réseau de centres européens de consommateurs (réseau CEC), en sa qualité de réseau d’envergure européenne chargé de conseiller les citoyens à l’égard de leurs droits en tant que consommateurs, pourraient devenir des partenaires dans la poursuite de l’objectif d’éducation des consommateurs.

4.3.2. Action 3.2. : faciliter le choix éclairé des consommateurs : les labels de protection de la vie privée

L’intégration et l’utilisation de technologies renforçant la protection de la vie privée pourraient être favorisées si la présence de celles-ci dans un produit donné, ainsi que leurs principales caractéristiques, étaient aisément discernables. À cette fin, la Commission entend étudier la faisabilité d’un système européen de labels de protection de la vie privée, notamment en réalisant une analyse d’impact économique et sociétal. Ces labels de protection de la vie privée auraient pour but d’assurer que les consommateurs pourraient savoir facilement si un produit donné, parce qu’il contient des technologies appropriées en matière de renforcement de la protection de la vie privée, garantit ou améliore les règles de protection des données lors du traitement de celles-ci, notamment.

Pour que les labels puissent atteindre leur objectif, la Commission estime qu’il y a lieu d’observer les principes suivants :

- Le nombre de systèmes de labels devrait être limité autant que possible. La prolifération de labels pourrait effectivement susciter une plus grande confusion chez le consommateur et saper la confiance qu’il accorde aux labels en général. Il convient donc d’examiner si et dans quelle mesure il serait judicieux d’intégrer un label européen de protection de la vie privée dans un dispositif plus général de certification de sécurité[14].

- Ce label ne devrait être accordé que si le produit est conforme à une série de normes correspondant aux règles de protection des données. Ces normes devraient être aussi uniformes que possible dans l’ensemble de l’Union.

- Les pouvoirs publics, et notamment les autorités nationales chargées de la protection des données, devraient jouer un rôle important dans le système en participant à la définition des normes et procédures pertinentes, ainsi qu’en contrôlant le bon fonctionnement du système de labels.

Dans cette perspective et eu égard à l’expérience acquise par le passé en matière de labels dans d’autres domaines (par exemple, l’environnement, l’agriculture, la certification de sécurité de produits et services), la Commission instaurera un dialogue avec toutes les parties intéressées, y compris les autorités nationales responsables de la protection des données, les associations à vocation industrielle ou de défense des consommateurs, ainsi que les organismes de normalisation.

[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.

[2] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »), JO L 201 du 31.7.2002, p. 37.

[3] Règlement 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, JL L 8 du 12.1.2001, p 1.

[4] Considérant 46 et article 14, paragraphe 3, de la directive 2002/58/CE.

[5] COM (2003) 265(01) du 15.5.2003. Voir http://eur-lex.europa.eu/LexUriServ...

[6] http://ec.europa.eu/information_soc...

[7] Cour de Justice, arrêt du 20.5.2003, Affaires jointes C-465/00, C-138/01 et C-139/01, "Österreichischer Rundfund et Autres" ("Rechnungshof") ECR [2003] I-04989, paragraphes 71 et 72.

[8] https://www.prime-project.eu/

[9] http://www.opentc.net/

[10] http://www.ist-discreet.org/

[11] Par exemple son article 17.

[12] Groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE.

[13] COM (2003) 567 final du 26.9.2003.

[14] Dans sa communication du 31 mai 2006 relative à une stratégie pour une société de l’information sûre - « Dialogue, partenariat et responsabilisation » (COM (2006) 251 final), la Commission a déjà invité le secteur privé à « élaborer des systèmes abordables pour la certification de sécurité des produits, processus et services qui répondent à des besoins spécifiques de l’UE (notamment en ce qui concerne le respect de la vie privée) ».

P.-S.

© Union européenne, http://eur-lex.europa.eu