Vue d’ensemble de 2019

En 2019, nous avons atteint le terme d’un mandat de supervision de cinq ans assigné au CEPD ; celui-ci avait commencé avec la nomination de Giovanni Buttarelli et de Wojciech Wiewiórowski, respectivement en tant que contrôleur et contrôleur adjoint européens de la protection des données, en décembre 2014. Au début de ce mandat, nous avons publié la stratégie du CEPD pour la période 2015-2019, qui a inspiré nos travaux au cours des cinq dernières années.

Nos activités en 2019 ont donc tout naturellement principalement consisté à consolider les réalisations des années précédentes, à évaluer les progrès accomplis et à commencer à définir des priorités pour l’avenir.

Malheureusement, le contrôleur, Giovanni Buttarelli, est décédé en août 2019. Il laisse derrière lui un legs qui façonnera non seulement l’avenir du CEPD, mais également le futur de la protection des données au niveau mondial.

En décembre 2019, Wojciech Wiewiórowski, jusque-là contrôleur adjoint, a été nommé CEPD par le Conseil et le Parlement européen et s’est attelé à la définition d’une nouvelle stratégie du CEPD pour le mandat de 2019-2024. Conformément aux nouvelles règles relatives à la protection des données dans les institutions de l’UE, le poste de contrôleur adjoint a été supprimé.

La nouvelle stratégie du CEPD sera publiée en mars 2020 et définira nos priorités et nos objectifs pour les prochaines années.

2.1 Un nouveau chapitre dédié à la protection des données

2019 a marqué le premier anniversaire du nouveau cadre de l’UE pour la protection des données. L’un des trois objectifs fixés dans notre stratégie 2015-2019 était d’ouvrir un nouveau chapitre sur la protection des données dans l’UE. En 2019, notre action a donc été axée sur la mise en pratique des nouvelles règles.

En ce qui concerne le règlement général sur la protection des données (RGPD), cela supposait de continuer à assurer le secrétariat du comité européen de la protection des données (EDPB) et à soutenir ce dernier tout en lui apportant en outre une contribution à part entière en notre qualité de membre. Composé des 28 autorités chargées de la protection des données (APD) des États membres de l’UE et du CEPD, le comité est chargé de veiller à la mise en œuvre cohérente du RGPD dans l’ensemble de l’UE.

En tant que membre de l’EDPB, nous avons contribué à plusieurs initiatives en 2019. Nous avons notamment collaboré avec le comité pour établir le premier avis conjoint de l’EDPB et du CEPD concernant le traitement des données des patients par le réseau «santé en ligne» de l’UE, et nous avons communiqué des avis conjoints au Parlement européen sur la réponse de l’UE à la loi américaine relative à la surveillance des données à caractère personnel (le «Claryfing Lawful Overseas Use of Data Act» ou «CLOUD Act»), qui habilite les autorités répressives américaines à demander la divulgation des données par les prestataires de services américains, indépendamment de l’endroit où ces données sont stockées dans le monde.

Le mois de décembre 2019 a clôturé la première année de l’application des nouvelles règles sur la protection des données pour les institutions de l’UE, qui sont établies dans le règlement (UE) 2018/1725. Pendant toute cette année, nous nous sommes donc efforcés de veiller à ce que les institutions de l’UE soient en mesure de mettre ces règles en œuvre de manière effective. Pour ce faire, nous avons continué de coopérer étroitement avec les délégués à la protection des données (DPD) des institutions de l’UE pour évaluer les progrès accomplis et envisager les moyens de surmonter toute difficulté susceptible de se dresser sur notre chemin ; nous avons en outre poursuivi notre programme d’activités de formation à la protection des données destiné aux agents des institutions de l’UE.

En outre, nous avons intensifié nos activités de contrôle du respect de la législation, nous fondant pour ce faire sur les pouvoirs conférés au CEPD en vertu du nouveau règlement. En juin 2019 par exemple, nous avons annoncé les résultats de notre première série d’inspections à distance des sites web des institutions de l’UE, mettant en exergue plusieurs domaines dans lesquels les institutions de l’UE concernées devaient apporter des améliorations.

Un domaine dans lequel nous avons été particulièrement actifs en 2019 est celui de la réalisation d’enquêtes sur les activités de traitement de données des institutions de l’UE. Le CEPD a effectué quatre enquêtes en 2019, orientant ses investigations vers différentes problématiques. Notre objectif est de veiller à ce que ces enquêtes aient une incidence durable et positive, renforcent la coopération entre le CEPD et les institutions concernées, améliorent les pratiques de protection des données des institutions de l’UE et garantissent les niveaux les plus élevés de protection pour tous.

Notre enquête sur l’utilisation des produits et services de Microsoft par les institutions de l’UE est une excellente illustration de cette préoccupation, elle a conduit à la mise en place du Forum de La Haye. Ce forum, dont une deuxième réunion est prévue pour le début de 2020, constitue une plate-forme de discussion sur les moyens de reprendre le contrôle des produits et services de TI offerts par les prestataires majeurs de ce secteur et sur la nécessité de concocter ensemble des contrats types au lieu d’accepter les conditions telles qu’établies par ces prestataires.

Une nouvelle législation est également entrée en vigueur pour deux des services répressifs de l’UE. Le CEPD est désormais un acteur bien établi en tant que contrôleur de la protection des données pour les activités opérationnelles au sein d’Europol, l’organe de l’UE chargé de soutenir les autorités répressives des États membres dans la lutte contre la grande criminalité internationale et le terrorisme. Fin 2019, nous avons également assumé des responsabilités similaires au sein d’Eurojust, l’agence de l’UE chargée de soutenir et d’améliorer la coordination et la coopération entre les autorités judiciaires compétentes des États membres de l’UE concernant les formes graves de criminalité organisée.

Étant donné que la sécurité publique restera sans aucun doute une préoccupation politique majeure pour l’UE au cours des années à venir, nous sommes déterminés à garantir que l’UE soit en mesure de renforcer la sécurité sans appliquer de restriction non nécessaire aux droits individuels de protection des données. Le rôle que nous assumons tant au sein d’Europol que dans le cadre d’Eurojust consiste donc à garantir une efficacité opérationnelle accrue tout en veillant à une protection adéquate des droits fondamentaux, notamment les droits à la protection des données et au respect de la vie privée.

2.2 Fourniture d’orientations et de conseils

L’amélioration de la sécurité des frontières de l’UE constitue une priorité pour le législateur de l’UE et le restera dans les prochaines années. Le CEPD continue donc à fournir des conseils et des orientations à la Commission européenne, au Parlement européen et au Conseil de l’Union européenne sur de nouvelles initiatives en la matière, non sans coopérer avec les APD nationales et les institutions de l’UE pour garantir la préservation de la sécurité des systèmes d’information de l’UE.

Si nous reconnaissons la nécessité de renforcer la sécurité au sein de l’UE, nous estimons que cela ne devrait pas se faire au détriment de la protection des données et de la vie privée. Les avis du CEPD sur des propositions telles qu’un accord entre l’Union européenne et les États-Unis d’Amérique sur l’accès transfrontière aux preuves électroniques et les injonctions européennes de production et de conservation de preuves électroniques en matière pénale visent tous à garantir la protection aussi bien des droits en matière de données à caractère personnel des personnes concernées que des frontières de l’UE.

Nous avons également poursuivi notre étroite coopération avec les APD afin de garantir une supervision efficace et coordonnée des grandes bases de données informatiques de l’UE, utilisées pour soutenir les politiques de l’UE en matière d’asile, de gestion des frontières, de coopération policière et de migration.

En outre, nous avons mis nos moyens en œuvre pour fournir aux responsables politiques des outils d’assistance à l’évaluation de la conformité avec la Charte des droits fondamentaux de mesures proposées par l’UE susceptibles d’avoir une incidence sur les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Le 19 décembre 2019, nous avons publié nos lignes directrices sur l’évaluation de la proportionnalité. Associées à notre boîte à outils sur la nécessité, ces lignes directrices fournissent des orientations pratiques destinées aux responsables politiques pour les aider à rationaliser les défis auxquels ils font face lorsqu’ils évaluent la nécessité et la proportionnalité de certaines propositions politiques et veiller de la sorte à ce que les droits fondamentaux bénéficient d’une protection adéquate.

Nos lignes directrices ne s’adressent toutefois pas uniquement aux responsables politiques. En 2019, nous avons également publié des lignes directrices sur les rôles et les notions de responsable du traitement, de sous-traitant et de responsabilité conjointe du traitement pour tenter de clarifier ces concepts et d’aider les personnes travaillant dans les institutions de l’UE à mieux comprendre leur rôle et à respecter les règles en matière de protection des données.

En outre, une grande partie des activités que nous avons déployées en 2019 avaient pour objectif le développement et le partage d’expertise technologique. Nos vies étant désormais tributaires pour une si large part de l’utilisation de la technologie, cette expertise est essentielle pour garantir une protection efficace des données et le CEPD a toujours mis un point d’honneur à montrer l’exemple en partageant des analyses utiles des évolutions technologiques qui se font jour.

À travers notre publication TechDispatch, mise sur les rails en juillet 2019, nous contribuons aux débats en cours sur les nouvelles technologies et la protection des données. En consacrant chaque édition à une technologie émergente différente, nous visons à fournir des informations sur la technologie proprement dite, à délivrer une évaluation de son incidence éventuelle sur le respect de la vie privée et la protection des données et à indiquer des liens pour en apprendre davantage sur le sujet.

À la suite de la première série d’inspections à distance des sites web des institutions de l’UE, nous avons également décidé de partager publiquement le système de collecte de preuves (WEC) élaboré par le CEPD. L’outil est disponible sur le site web du CEPD et sur la plate-forme de collaboration et d’hébergement de code GitHub sous la forme d’un logiciel libre ; il permet la collecte de preuves automatiques de traitement des données à caractère personnel. En partageant le WEC, nous espérons fournir aux APD, aux professionnels du respect de la vie privée, aux responsables du traitement des données et aux développeurs de sites web les outils nécessaires afin de procéder à leurs propres inspections de sites web.

Enfin, nous avons poursuivi nos travaux relatifs au développement du réseau d’ingénierie de la vie privée sur Internet (IPEN), qui rassemble des experts de différents domaines différents afin d’encourager la mise au point de solutions d’ingénierie aux problèmes de respect de la vie privée. Cinq ans après sa mise en place, l’IPEN est désormais en mesure de dépasser les discussions plus générales sur les questions relatives à l’ingénierie de la vie privée et d’adopter une approche plus ciblée, axée sur la mise au point de solutions pratiques aux problèmes engendrés par l’ingénierie de la vie privée.

2.3 Une approche internationale de la protection des données

Au cours des cinq dernières années, l’IPEN a consacré beaucoup de temps et d’énergie à la mise en place d’une plus grande convergence de la protection des données au niveau mondial. Alors que les données circulent au niveau international, par-delà les frontières, la définition des règles en matière de protection des données reste dans une large mesure du ressort national ou, au mieux, régional.

Tout au long de l’année 2019, nous avons donc continué à travailler avec nos partenaires régionaux et internationaux afin d’intégrer la protection des données dans les accords internationaux et d’assurer une protection cohérente des données à caractère personnel dans le monde entier. En particulier, nous avons coopéré avec le comité européen de la protection des données dans le domaine des transferts internationaux de données, en participant au réexamen du bouclier de protection des données pour les transferts de données entre l’UE et les États-Unis, et à la contribution du CEPD à l’audition dans l’affaire Schrems devant la Cour de justice de l’Union européenne, axée sur la légalité des clauses contractuelles types pour les transferts de données.

Nous avons également persévéré dans la poursuite de notre objectif consistant à encourager le débat mondial sur l’éthique numérique. Tirant profit du succès de la Conférence internationale des commissaires à la protection des données et de la vie privée de 2018 co-organisée par le CEPD à Bruxelles, en 2019, nous avons visé à assurer que le débat sur l’éthique dans le domaine numérique progresse. Nous avons donc lancé une série de webinaires, que nous avons publiés sous la forme d’un podcast sur notre site web. Chaque webinaire était axé sur un domaine de préoccupation particulier mis en évidence dans le cadre de la conférence, ce format nous permettant d’approfondir le sujet.

Les discussions sur l’éthique numérique se sont également poursuivies lors de la conférence internationale de 2019, aussi bien dans le cadre du groupe de travail sur l’intelligence artificielle, l’éthique et la protection des données que dans celui d’un événement parallèle, organisé par le CEPD, axé sur l’incidence sur l’environnement des technologies numériques.

2.4 Administration interne

L’envergure et les responsabilités du CEPD continuent de s’accroître. Une priorité pour l’unité «Ressources humaines, budget et administration» (HRBA) du CEPD en 2019 a donc consisté à veiller à ce que le CEPD dispose des ressources appropriées pour exercer ses activités. Parmi ces activités figuraient la mise en œuvre d’un concours destiné aux experts dans le domaine de la protection des données et la publication d’une liste de réserve en vue du recrutement de nouveaux membres du personnel, ainsi que le renforcement des efforts visant à acquérir des espaces de bureaux et à les agrandir pour accueillir notre effectif croissant.

Nous nous sommes également efforcés d’améliorer les opportunités de formation et de développement pour les membres du personnel déjà en fonction, en particulier grâce au lancement d’un programme interne d’encadrement. En outre, des avancées considérables ont été réalisées dans les domaines de la finance et des marchés publics, grâce à l’introduction de processus plus efficaces pour les opérations financières ; nos activités dans ces domaines se poursuivront en 2020.

Alors que nous entamons le nouveau mandat, nous nous efforcerons de continuer à améliorer l’efficacité des processus administratifs, afin de veiller à ce que le CEPD soit bien équipé pour répondre aux nouveaux défis en matière de protection des données.

2.5 Communiquer sur la protection des données

La portée et l’influence des communications du CEPD augmentent sans cesse. Une communication efficace revêt une importance cruciale pour garantir que les informations relatives aux activités du CEPD atteignent le public externe pertinent.

L’engagement et l’intérêt public pour la protection des données allant croissant, nos efforts de communication déployés en 2019 visaient à nous appuyer sur le succès des années précédentes et à renforcer notre statut en tant que chef de file international respecté dans le domaine de la protection des données. Des efforts soutenus étaient donc nécessaires dans plusieurs domaines, notamment les événements, les publications et les médias en ligne ainsi que les relations avec la presse et les parties prenantes.

Un nouveau mandat étant en cours, nous donnerons la priorité cette année à la poursuite du développement de nos outils de communication pour soutenir la mise en œuvre réussie de la nouvelle stratégie, qui sera publiée en mars 2020.

2.6 Indicateurs clés de performance 2019

Nous utilisons un certain nombre d’indicateurs clés de performance (ICP) afin de mieux cerner les résultats de notre action. Nous garantissons ainsi notre capacité à adapter nos activités, si nécessaire, pour accroître l’impact de nos travaux et maximiser l’efficacité de notre utilisation des ressources. Ces ICP reflètent les objectifs stratégiques et le plan d’action définis dans notre stratégie 2015-2019.

Le tableau de bord des ICP, reproduit ci-après, comprend une description succincte de chaque ICP et les résultats obtenus au 31 décembre 2019. Dans la plupart des cas, ces résultats sont mesurés par rapport aux objectifs initiaux.

En 2019, nous avons atteint ou dépassé (sensiblement dans certains cas) les objectifs définis dans six des huit ICP, l’ICP 2 s’établissant légèrement en deçà de l’objectif fixé.

Ces résultats reflètent les avancées réalisées dans la mise en œuvre d’objectifs stratégiques pertinents au cours de la dernière année de la stratégie 2015-2019.

Enfin, l’ICP 7 ne peut pas être mesuré en 2019, l’enquête auprès du personnel n’étant menée qu’une année sur deux.

INDICATEURS CLÉS DE PERFORMANCE		RÉSULTATS AU 31.12.2019	CIBLE 2019
Objectif 1 – La protection des données passe au numérique
ICP 1 Indicateur interne	Nombre d’initiatives visant à promouvoir les technologies destinées à améliorer le respect de la vie privée et la protection des données organisées ou co-organisées par le CEPD	9 initiatives	9 initiatives
ICP 2 Indicateur interne et externe	Nombre d’activités axées sur des solutions stratégiques interdisciplinaires (internes et externes)	7 activités	8 activités
Objectif 2 – Forger des partenariats à l’échelle mondiale
ICP 3 Indicateur interne	Nombre d’affaires traitées au niveau international (comité européen de la protection des données, CdE, OCDE, GPEN, conférences internationales) pour lesquelles le CEPD a fourni une contribution écrite importante	62 affaires	10 affaires
Objectif 3 – Ouvrir un nouveau chapitre consacré à la protection des données dans l’UE
ICP 4 Indicateur externe	Nombre d’avis/observations formulés en réponse aux demandes de consultation (Commission, PE, Conseil, APD,…)	26 consultations	10 consultations
ICP 5 Indicateur externe	Niveau de satisfaction des DPD/des CPD/des contrôleurs à l’égard de la coopération avec le CEPD et des lignes directrices, y compris la satisfaction des personnes concernées en ce qui concerne les formations	90 %	70 %
Facteurs – Communication et gestion des ressources
ICP 6 Indicateur externe	Nombre d’abonnés sur les comptes de médias sociaux du CEPD (Twitter, LinkedIn, YouTube)	40 421 (L : 20 357, T : 18 424, Y : 1 640)	Nombre d’abonnés par rapport à l’année précédente + 10 %
ICP 7 Indicateur interne	Niveau de satisfaction du personnel	Sans objet	75 %
ICP 8 Indicateur interne	Exécution du budget	91,69 %	90 %

Comment prendre contact avec l’Union européenne?

En personne
Dans toute l’Union européenne, des centaines de centres d’information Europe Direct sont à votre disposition. Pour connaître l’adresse du centre le plus proche, visitez la page suivante : https://europa.eu/european-union/contact_fr

Par téléphone ou courrier électronique
Europe Direct est un service qui répond à vos questions sur l’Union européenne. Vous pouvez prendre contact avec ce service :

• par téléphone : via un numéro gratuit : 00 800 6 7 8 9 10 11 (certains opérateurs facturent cependant ces appels),
• au numéro de standard suivant : +32 22999696 ;
• par courrier électronique via la page : https://europa.eu/european-union/contact_fr

Comment trouver des informations sur l’Union européenne?

En ligne
Des informations sur l’Union européenne sont disponibles, dans toutes les langues officielles de l’UE, sur le site internet Europa à l’adresse : https://europa.eu/european-union/index_fr

Publications de l’Union européenne
Vous pouvez télécharger ou commander des publications gratuites et payantes à l’adresse : https://op.europa.eu/fr/publications. Vous pouvez obtenir plusieurs exemplaires de publications gratuites en contactant Europe Direct ou votre centre d’information local (https://europa.eu/european-union/contact_fr).

Droit de l’Union européenne et documents connexes
Pour accéder aux informations juridiques de l’Union, y compris à l’ensemble du droit de l’UE depuis 1952 dans toutes les versions linguistiques officielles, consultez EUR-Lex à l’adresse suivante : http://eur-lex.europa.eu

Données ouvertes de l’Union européenne
Le portail des données ouvertes de l’Union européenne (http://data.europa.eu/euodp/fr) donne accès à des ensembles de données provenant de l’UE. Les données peuvent être téléchargées et réutilisées gratuitement, à des fins commerciales ou non commerciales.

Contact

Des informations supplémentaires sur le CEPD figurent sur notre site web à l’adresse : http://www.edps.europa.eu.

Le site web vous permet également de vous abonner à notre newsletter.

 

www.edps.europa.eu
EU_EDPS
EDPS
European Data Protection Supervisor

 

Luxembourg : Office des publications de l’Union européenne, 2019

© Photos : iStockphoto/CEPD et Union européenne

© Union européenne, 2019

Réutilisation autorisée, moyennant mention de la source.

Print	ISBN 978-92-9242-471-8	ISSN 1831-0516	doi:10.2804/603432	QT-AB-20-001-FR-C
PDF	ISBN 978-92-9242-485-5	ISSN 1977-8341	doi:10.2804/803958	QT-AB-20-001-FR-N
HTML	ISBN 978-92-9242-548-7	ISSN 1977-8341	doi:10.2804/630725	QT-AB-20-001-FR-Q