Le GDPR entrera en vigueur en mai 2018. Le moment n’est donc pas innocent. Le contrôleur européen à la protection des données publie un guide à destination des législateurs des Etats membres, en vue de les aider à mieux intégrer la protection des données lorsqu’ils légifèrent.

Le contrôleur européen à la protection des données

Le poste de « contrôleur européen à la protection des données » (CEPD) a été créé en exécution du règlement (CE) 45/2001. Le CEPD est l’autorité indépendante de protection des données de l’Union européenne chargée de veiller à ce que les institutions et organes de l’UE respectent la législation sur la protection des données.

L’UE, en tant qu’entité décisionnelle, législative et judiciaire, considère le CEPD comme un superviseur indépendant pour des conseils impartiaux sur les politiques et les projets de lois qui pourraient affecter le droit à la vie privée et la protection des données. Le CEPD remplit cette fonction en se développant en tant que centre d’excellence en droit, mais aussi en technologie dans la mesure où elle affecte ou est affectée par le traitement des informations personnelles.

Le CEPD exerce ses fonctions en étroite coopération avec les autres autorités chargées de la protection des données.

Une aide à destination des législateurs

Le GDPR laisse, à plusieurs égards, une grande marge de manœuvre aux Etats. Nous vous renvoyons au site de référence consacré à l’analyse du règlement pour plus de détails à ce sujet.

Par ailleurs et indépendamment du GDPR, le contrôleur européen part de l’idée qu’à peu près toutes les réglementations ont potentiellement un impact sur le traitement des données à caractère personnel. D’où un constat : il est de plus en plus fréquent que les législateurs nationaux soient amenés à faire des arbitrages qui impliquent des équilibres d’autant plus délicats que la protection des données est placée dans le cadre de la protection des droits fondamentaux. Or, il faut bien admettre que les législateurs nationaux ne sont pas toujours au courant de toutes les finesses de la réglementation en la matière.

C’est dans ce cadre que le CEPD a décidé de rédiger et publier un guide à destination des autorités et des Etats. Cette initiative se place dans le cadre de la facilitation et de la collaboration avec les autorités nationales, qui font partie des fonctions du contrôleur européen.

Le guide a pour but d’aider les rédacteurs nationaux à identifier l’impact de ce droit fondamental, à déterminer les cas dans lesquels une intervention législative est nécessaire, et à le guider étape par étape lorsqu’il s’apprête à légiférer.

Le guide se veut extrêmement pratique, quasiment une check-list.

Les autorités publiques en position délicate

Nous avons déjà relevé dans une actualité précédente la situation spécifique des traitements effectués par les autorités publiques.

En principe, il y a six hypothèses qui permettent d’asseoir la licéité d’un traitement (le consentement de la personne concernée, la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde d’intérêts vitaux, l’exécution d’une mission d’intérêt public ou les intérêts légitimes du responsable du traitement.)

Ces différentes hypothèses ont été reprises et parfois précisées par le GDPR avec une première précision à l’attention des autorités publiques dans l’exercice de leur mission en interdisant aux autorités publiques d’invoquer l’intérêt légitime comme fondement juridique de leur traitement (art. 6, §1er, f). Le considérant 47 justifie l’interdiction par un retour strict au principe de légalité qui s’impose à toute action de telles autorités : dès lors qu’il appartient au législateur de prévoir par la loi la base juridique pour de tels traitements, les autorités publiques ne peuvent invoquer un simple intérêt légitime pour justifier ceux-ci.

Le Règlement va plus loin en réaffirmant ce même principe de légalité concernant les traitements de données. Dès lors que le traitement poursuivi dans le secteur public aura pour base juridique la nécessité de respecter une obligation légale (art. 6, § 1er, c) ou la nécessité d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (art. 6, § 1er, e), ces causes de légitimation devront trouver une base spécifique dans le droit de l’Union ou dans le droit de l’État membre (art. 6,§3). Les finalités du traitement devront alors être définies par la loi s’il s’agit pour le traitement de respecter une base légale et, à tout le moins, être nécessaires à l’exécution de la mission en cause.

On le voit, la « nécessité » est un des piliers du raisonnement pour tout traitement de données effectuées par les autorités publiques (voir notre actu précédente).

Il n’est donc pas étonnant de voir le contrôleur européen consacrer la plus grande partie de son travail à l’analyse de ce critère.

Le guide contient également d’intéressants développements sur le critère de proportionnalité.

Les guide est disponible en annexe de cette actualité.