Malgré le refus par la Commission européenne de l'augmentation de son budget en fin d'année dernière, le Contrôleur européen de la protection des données promet de continuer de jouer son rôle de défense des droits fondamentaux et de la protection des données, ce qui « peut aussi mettre des limites à certaines idées ».
En septembre dernier, Next INpact vous expliquait que les deux CEPD, le Comité européen de la protection des données (EDPB en anglais, qui regroupe les CNIL européennes) et le Contrôleur européen de la protection des données (EDPS en anglais, l'équivalent de la CNIL pour les institutions de l'Union européenne), se voyaient refuser une augmentation de leur budget alors que leurs missions ne cessaient de s'intensifier.
- Les deux CNIL européennes se voient refuser leurs demandes d'augmentation
- Les contrôleurs européens veulent interdire la surveillance biométrique de masse
- Les CNIL européennes se disent très inquiètes du projet antipédopornographie européen
À l'occasion de la remise de son rapport annuel, l'EDPS réaffirme son rôle dans la protection des données, fait le bilan à la mi-temps de sa stratégie « Façonner un avenir numérique plus sûr » 2020-2024, et décline ses buts pour 2023 et après.
« Nous devons être honnêtes et dire que la protection des données peut aussi mettre des limites à certaines idées. Nous ne pouvons pas être favorables à la protection des données uniquement jusqu'au moment où son application dans la pratique implique de fixer des limites. Nous devons accepter que les droits fondamentaux sont positifs, mais aussi négatifs, en ce sens qu'ils fixent les limites à ce que les autorités publiques peuvent faire », affirme Wojciech Wiewiórowski, qui est à la tête de l'EDPS depuis 2019, dans la présentation [PDF] du rapport de son institution [PDF].
Défendre les droits fondamentaux à travers la protection des données
Le contrôleur européen de la protection des données pose ces limites en s'appuyant sur les droits fondamentaux qui « sont à la base de l'idée de l'Union européenne ».
« Inscrits dans la Charte et les traités, ils ne constituent pas seulement le prisme à travers lequel nous examinons toutes les politiques de l'Union. Ils fixent également des limites », explique-t-il :
- « Le droit à la vie empêche la torture et les traitements inhumains.
- Le droit à la vie privée, lorsqu'il est remis en question, comme nous l'avons observé l'année dernière aux États-Unis avec la décision de la Cour suprême concernant l'affaire Roe v Wade, peut avoir un impact significatif sur la vie et les choix personnels. »
Mission première : contrôler l'usage des données par les institutions européennes
Wojciech Wiewiórowski réaffirme dans cette présentation l'indépendance et la volonté de son institution de continuer à contrôler l'usage des données privées par les institutions européennes : « je voudrais souligner que nous sommes une autorité de contrôle qui n'hésite pas à s'adresser à toutes les institutions de l'UE, en particulier les principales, telles que la Commission ou même la Cour de justice elle-même, par exemple en ce qui concerne le respect de l'arrêt Schrems II », appuie-t-il.
Il revendique d'avoir pleinement joué son rôle dernièrement dans ce sens, notamment en ce qui concerne l'utilisation des logiciels espions comme Pegasus : « en tant qu'autorité contrôlant exclusivement des autorités publiques, nous nous sentons responsables de contribuer aux réflexions sur la nature même du rôle de l'État dans une société démocratique. Cela nous a incité à partager, en février de l'année dernière, les remarques préliminaires de l'EDPS sur les logiciels espions modernes visant à utiliser les révélations choquantes sur l'utilisation de Pegasus par les gouvernements de plusieurs États membres de l'UE comme une occasion de créer un meilleur contrôle démocratique sur les pratiques liées à l'application de la loi ou à la sécurité nationale. Nous sommes heureux de voir que ce document est utile aux travaux de la commission d'enquête PEGA [Commission d’enquête chargée d’enquêter sur l’utilisation de Pegasus et de logiciels espions de surveillance équivalents]. »
Dans son rapport, l'EDPS se donne quatre priorités pour les années à venir.
Un nouveau paysage réglementaire
Le Contrôleur note que, suite à l'évolution du paysage réglementaire numérique européen par les Data Governance Act (DGA), Digital Markets Act (DMA) et Digital Services Act (DSA), ainsi que les nouvelles propositions de lois sur l'intelligence artificielle et sur les données, il s'attend à avoir de nouvelles fonctions de régulation.
Il fait remarquer que bien que « ces lois déclarent en principe ne pas porter atteinte ni modifier le RGPD, plusieurs dispositions de ces réglementations nouvelles ou à venir font explicitement référence aux définitions, concepts et obligations » de ce règlement.
« En outre, bien que le traitement des données à caractère personnel soit au cœur des activités réglementées par chaque acte, les autorités chargées de la protection des données ne sont pas désignées comme les principales autorités compétentes », ajoute-t-il.
Le contrôleur paraît inquiet de se voir dépossédé de ces questions, avance vouloir jouer au moins une fonction consultative, et réaffirme qu'il peut contraindre « si nécessaire » à faire appliquer la loi.
- Au Journal officiel de l’UE, le « Data gouvernance Act »
- Que change le Digital Services Act en pratique ?
- Que va changer le Digital Markets Act en pratique ?
Il entend bien jouer un rôle dans les discussions autour de l'utilisation de l'intelligence artificielle par les institutions de l'Europe, et de l'élaboration du projet d'Euro numérique.
Interopérabilité des fichiers de l'UE
L'avènement du cadre d'interopérabilité des systèmes d'information de l'UE, notamment sur la gestion des données pour les frontières et la sécurité, change aussi des choses pour l'EDPS, qui se prépare à « la connexion de plusieurs systèmes informatiques à grande échelle avec les bases de données d'Europol et d'Interpol, ce qui constituerait un écosystème de flux de données susceptible d'amplifier les risques générés par le fonctionnement des systèmes sous-jacents pour les personnes concernées ».
Le contrôleur explique que la complexité de l'architecture et l'éparpillement des lois ayant trait à la protection des données le pousse à se concentrer sur les flux des données « plutôt que sur le contrôle séparé du traitement des données dans différents systèmes ».
Sur ce sujet, il annonce se concentrer sur trois domaines : l'information des personnes concernées, une stratégie d'audit et un travail sur le profilage algorithmique.
Coopération internationale
Alors que l'EDPS constate que la Commission rechigne à l'inclure pleinement dans les nouvelles régulations, il veut plus s'appuyer sur la coopération internationale pour défendre son rôle et vise les forums internationaux comme la Global Privacy Assembly, le Conseil de l'Europe ou la table ronde des autorités chargées de la protection des données du G7.
Adaptation aux crises
La quatrième et dernière priorité énoncée par l'EDPS est de « repenser les processus pour garantir l'efficacité dans un environnement en évolution rapide ». Citant notamment la pandémie de Covid-19 et l'invasion russe de l'Ukraine, le Contrôleur constate que l'actualité lui apporte de nouvelles tâches et qu'il doit s'y adapter rapidement.
Par exemple, il cite « la mise en place de la nouvelle base de données de preuves » de l'Unité de coopération judiciaire de l'Union européenne (Eurojust) pour le traitement des éléments de preuve recueillis dans le cadre des enquêtes sur les crimes de guerre commis par la Russie.
Commentaires (1)
#1
Merci pour l’article.
Cela présage une évolution encourageante, ça change.