6.6.2014 |
FR |
Journal officiel de l'Union européenne |
L 167/57 |
Décision de la Commission du 5 juin 2014 relative à la protection des données à caractère personnel sur le portail européen e-Justice (2014/333/UE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
après consultation du Contrôleur européen de la protection des données,
considérant ce qui suit:
(1) |
Dans sa communication de mai 2008 (1), la Commission indiquait qu'elle travaillerait sur la conception et la mise en place du portail e-Justice (ci-après le «portail») dont elle assurerait la gestion en étroite relation avec les États membres. |
(2) |
Le plan d'action pluriannuel 2009-2013 (2) relatif à l'e-Justice européenne du 8 novembre 2008 prévoyait de charger la Commission européenne de la mise en œuvre du portail. Le lancement du portail a eu lieu le 16 juillet 2010. Les conditions nécessaires pour que la première interconnexion de registres nationaux impliquant un traitement de données à caractère personnel ait lieu dans le cadre du portail étant réunies, l'adoption de la présente décision devient désormais nécessaire. |
(3) |
L'objectif du portail est de contribuer à la construction de l'espace judiciaire européen en facilitant et en améliorant l'accès à la justice et en rendant les procédures judiciaires électroniques et la coopération judiciaire transfrontières plus aisées grâce aux technologies de l'information et de la communication. |
(4) |
Lorsqu'ils mettent en œuvre le droit de l'Union, les institutions, les organes, les organismes et les agences de l'Union européenne, ainsi que les États membres, doivent respecter les droits fondamentaux et observer les principes reconnus par la charte des droits fondamentaux de l'Union européenne, notamment le droit à la protection des données à caractère personnel consacré à l'article 8 de ladite charte. |
(5) |
Étant donné que les différentes tâches et fonctions qui incombent à la Commission et aux États membres dans le cadre du portail vont de pair avec diverses responsabilités et obligations relatives à la protection des données, il convient de les délimiter clairement. |
(6) |
Compte tenu de la nature spécifique des activités liées au portail e-Justice, qui est le fruit d'une coopération entre la Commission et les États membres, le rôle joué par la Commission dans les opérations de traitement de données à caractère personnel exécutées dans le cadre du portail est limité. Il y a lieu de préciser que la Commission n'est pas responsable du contenu des bases de données nationales interconnectées disponibles par l'intermédiaire du portail. |
(7) |
Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (3) s'applique aux opérations de traitement de données à caractère personnel effectuées par la Commission dans le cadre du portail. La Commission est chargée, en particulier, de fournir l'infrastructure informatique nécessaire aux fonctionnalités du portail, et notamment à l'interconnexion des bases de données nationales. |
(8) |
Conformément au règlement (CE) no 45/2001, la finalité du traitement des données à caractère personnel doit être explicitement précisée. Par conséquent, le traitement de données à caractère personnel par la Commission dans le portail doit avoir pour seule finalité la fourniture d'un accès aux bases de données nationales interconnectées contenant des données à caractère personnel, la fourniture de services interactifs permettant aux utilisateurs de communiquer directement avec les autorités compétentes dans un autre État membre, la fourniture d'un accès à des informations publiques destinées aux utilisateurs enregistrés ou la fourniture de coordonnées. |
(9) |
La Commission devrait intégrer dans le système des technologies fondées sur le concept de la protection des données dès la conception. Lors de la mise en œuvre de ce concept, une analyse d'impact en ce qui concerne la vie privée et la protection des données devrait être réalisée pendant la phase de conception de la fonctionnalité liée au traitement de données à caractère personnel par le portail, et d'autres fonctionnalités du portail. Cette évaluation permettra de recenser les risques éventuels pour la protection des données et également de définir les mesures et garanties que le système devrait comporter pour protéger les données à caractère personnel. |
(10) |
La Commission devrait procéder à des évaluations de sécurité appropriées continues dès lors que des opérations relatives à l'interconnexion de bases de données nationales sont exécutées. |
(11) |
Seules les informations publiques qui figurent dans les bases de données nationales interconnectées sont accessibles par l'intermédiaire du portail. Il ne devrait pas être possible de combiner pour des finalités différentes, par l'intermédiaire du portail, des informations provenant de différentes bases de données nationales interconnectées, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet
La présente décision établit les fonctions et les responsabilités de la Commission européenne en ce qui concerne les exigences relatives à la protection des données dans le cadre du traitement de données à caractère personnel dans le portail européen e-Justice (ci-après le «portail»).
Article 2
Définitions
Aux fins de la présente décision, les définitions énoncées dans le règlement (CE) no 45/2001 sont applicables. En outre, on entend par:
a) |
«acteur du portail européen e-Justice»: tout représentant d'un État membre ou d'un organisme partenaire du portail européen e-Justice autorisé à modifier (en partie) le contenu du portail; |
b) |
«bases de données nationales interconnectées»: les bases de données contenant des informations accessibles au public, gérées par les États membres et d'autres entités telles que des associations professionnelles et organisations à but non lucratif, qui sont interconnectées par l'intermédiaire du portail de sorte que les informations disponibles au niveau national deviennent accessibles par le portail; |
c) |
«informations accessibles au public»: les informations accessibles au public par l'internet; |
d) |
«utilisateur enregistré»: un utilisateur du portail, tel qu'un «acteur du portail européen e-Justice», qui s'est enregistré sur le portail par l'intermédiaire du service d'authentification de la Commission européenne (ECAS). |
Article 3
Traitement des données
La Commission n'effectue des opérations de traitement de données à caractère personnel dans le portail que dans la mesure où cela est nécessaire pour:
a) |
fournir un accès aux bases de données nationales interconnectées contenant des données à caractère personnel; |
b) |
fournir des services interactifs permettant aux utilisateurs enregistrés de communiquer directement avec les autorités compétentes dans un autre État membre; |
c) |
fournir un accès à des informations publiques destinées aux utilisateurs enregistrés ou |
d) |
fournir des coordonnées. |
Article 4
Fonction de responsable du traitement
1. La Commission exerce la fonction de responsable du traitement en application de l'article 2, point d), du règlement (CE) no 45/2001, conformément aux responsabilités qui lui incombent dans le cadre du portail et qui sont mentionnées dans le présent article.
2. La Commission assure la disponibilité, la maintenance et la sécurité de l'infrastructure informatique du portail.
3. La Commission est responsable des opérations de traitement suivantes:
a) |
l'organisation; |
b) |
la divulgation par transmission; |
c) |
la diffusion ou la mise à disposition par tout autre moyen; |
d) |
l'alignement ou la combinaison de données à caractère personnel extraites des bases de données nationales interconnectées ou de données à caractère personnel relatives aux utilisateurs enregistrés. |
4. La Commission définit les politiques nécessaires et met en œuvre les solutions techniques appropriées pour s'acquitter des responsabilités qui lui incombent dans le cadre de sa fonction de responsable du traitement.
5. La Commission met en place les mesures techniques requises pour assurer la sécurité des données à caractère personnel pendant leur transit et lors de leur affichage sur le portail, et notamment la confidentialité et l'intégrité de toutes les transmissions en provenance et à destination du portail.
6. La Commission n'est pas responsable des aspects liés à la protection des données à caractère personnel en ce qui concerne:
a) |
la collecte et le stockage initiaux des données extraites des bases de données nationales interconnectées; |
b) |
toute décision prise par les États membres de rendre ces données accessibles par l'intermédiaire du portail; |
c) |
le contenu des données extraites des bases de données nationales interconnectées rendues accessibles par l'intermédiaire du portail. |
7. Les obligations qui incombent à la Commission ne portent pas préjudice aux responsabilités des États membres et des autres entités en ce qui concerne le contenu et l'exploitation des bases de données interconnectées gérées par leurs soins.
Article 5
Obligations en matière d'information
1. La Commission fournit aux personnes concernées les informations énumérées aux articles 11 et 12 du règlement (CE) no 45/2001 en ce qui concerne les informations dont elle est responsable en vertu de la présente décision.
2. Sans préjudice de ses obligations envers les personnes concernées des États membres et d'autres entités gérant les bases de données nationales interconnectées, la Commission indique aussi aux personnes concernées qui contacter pour faire effectivement valoir leurs droits d'information, d'accès, de rectification et d'opposition conformément à la législation applicable en matière de protection des données. La Commission fait référence aux déclarations de confidentialité spécifiques des États membres et des autres entités.
3. La Commission rend aussi disponibles sur le portail:
a) |
les traductions, dans les langues du portail, des déclarations de confidentialité des États membres visées au paragraphe 2; |
b) |
une déclaration complète de confidentialité concernant le portail, conformément aux articles 11 et 12 du règlement (CE) no 45/2001, sous une forme lisible et compréhensible. |
Article 6
Stockage des données à caractère personnel
1. En ce qui concerne les échanges d'informations issues de bases de données nationales interconnectées, aucune donnée à caractère personnel relative aux personnes concernées n'est stockée sur le portail. Toutes les données de ce type sont stockées dans les bases de données nationales gérées par les États membres ou d'autres entités.
2. Les données à caractère personnel relatives aux utilisateurs du portail ou fournies par leurs soins ne sont pas stockées sur le portail, sauf lorsque ces utilisateurs se sont enregistrés. Les données à caractère personnel des utilisateurs enregistrés sont stockées jusqu'à ce que ces utilisateurs demandent la suppression de leur enregistrement. Conformément à l'article 3, les données à caractère personnel relatives aux acteurs du portail européen ou aux points de contact e-Justice ne sont stockées que pendant la durée des fonctions de ces personnes.
Article 7
Date d'entrée en vigueur
La présente décision entre en vigueur le vingtième jour suivant sa publication au Journal officiel de l'Union européenne.
Fait à Bruxelles, le 5 juin 2014.
Par la Commission
Le président
José Manuel BARROSO
(1) COM(2008) 329 final du 30.5.2008.
(2) JO C 75 du 31.3.2009, p. 1.
(3) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).