Protection des données : les institutions de l’UE veulent échapper aux nouvelles règles
EXCLUSIF / Les ministres européens de la justice qui se réunissent aujourd’hui (6 juin) à Luxembourg devraient envisager l’octroi aux institutions européennes d’une exemption généralisée des nouvelles règles sur la protection des données.
EXCLUSIF / Les ministres européens de la justice qui se réunissent aujourd’hui (6 juin) à Luxembourg devraient envisager l’octroi aux institutions européennes d’une exemption généralisée des nouvelles règles sur la protection des données.
La Commission et d'autres organes de l'UE appliqueraient les nouvelles mesures sur la protection des données après l'adoption du nouveau règlement en utilisant une règle interne spéciale critiquée par l'organisme de surveillance de l'UE, selon une proposition consultée par EURACTIV.
L'idée fait partie d'une nouvelle tentative de la présidence irlandaise de dénouer l'impasse croissante sur les nouvelles règles relatives à la protection des données, qui a donné lieu à une dispute publique entre les rapporteurs sur ce document au Parlement européen.
Une série de modifications du texte original axées sur le commerce figure dans les propositions, consultées par EURACTIV, que les ministres devront examiner.
Des règles sur les données plus strictes pour la Commission
Les institutions européennes sont toujours exclues du règlement à condition qu’une annexe spéciale aux nouvelles règles impose à la Commission de réviser un règlement existant (n°45/2001) relatif aux institutions européennes afin qu'il devienne conforme au nouveau régime.
La Commission prétend que ces règles sont actuellement plus strictes que la proposition de règlement général pour la protection des données, étant donné qu'elles contraignent les institutions à avoir des responsables de la protection des données et à consulter le Contrôleur européen de la protection des données (CEPD), l'organisme de surveillance de l'UE dans ce domaine, pour toutes les mesures relatives à ce sujet.
Un porte-parole du CEPD a toutefois expliqué à EURACTIV que le règlement n°45/2001 « couvre certains domaines spécifiques au contexte institutionnel de l'UE et qui resteront non réglementés en vertu de la proposition de règlement général ».
Suppression des données sur le superviseur de données
Ces domaines comprennent les transferts de données à caractère personnel entre les institutions européennes, les règles applicables au traitement des données dans les réseaux internes de télécommunication et celles relatives à la nomination et aux pouvoirs du CEPD.
Le document de la présidence irlandaise laisse penser que l'exemption pour les institutions pourrait disparaître, mais révèle que cela nécessiterait une série de modifications et ralentirait la progression du nouveau règlement.
Conformément à ce document, la Commission affirmerait son intention de modifier le règlement n°45/2001 afin de le rendre conforme à la réglementation, mais après l'adoption du règlement général.
La Commission prétend que la modification de sa règle interne entrerait en vigueur en même temps que le règlement général. L'exécutif gagnera ainsi du temps et aura le droit de déterminer l'ampleur des conséquences des nouvelles règles après l’adoption du règlement général définitif.
C'est la raison pour laquelle il y aura une pause de deux ans entre l'adoption officielle de tout nouveau règlement et sa mise en œuvre par les États membres. Durant ce laps de temps, la Commission réfléchira à son changement de règle interne.
Dans un avis de janvier 2011, le CEPD a déclaré que cette méthode de réglementation des institutions était insuffisante, en ajoutant : « Il ne serait vraiment pas souhaitable que le CEPD vérifie si les institutions et les organes de l'UE respectent des règles substantielles qui seraient inférieures à celles supervisées par ses homologues à l'échelle nationale. »
D'autres modifications laissent penser que la présidence irlandaise inclut la limitation des situations dans lesquelles les entreprises hors UE seraient soumises aux nouvelles règles et la reconnaissance du concept de « données rendues anonymes », qui seraient exclues du cadre réglementaire de la protection des données.
La proposition relative à la protection des données est controversée
La période de divulgation des violations de la protection des données pour les entreprises passe de 24 à 72 heures en vertu de la nouvelle règle. Ces violations ne devront être signalées que si elles portent préjudice.
Les propositions demeurent extrêmement controversées dans toutes les institutions et huit pays (la Belgique, le Danemark, l'Estonie, la Hongrie, la République tchèque, le Royaume-Uni, la Slovénie et la Suède) préfèrent toujours une directive à un règlement pour l'application des règles sur la protection des données. Une directive permettrait une plus grande souplesse dans la mise en œuvre.
La présidence irlandaise évoque la possibilité que la proposition de règlement se transforme en une directive à l'avenir, si nécessaire.
Les ministres seront invités à soutenir le compromis atteint en vue d'entamer des négociations avec le Parlement européen sur le texte définitif du règlement à l’automne.