5.2.2013   

FR

Journal officiel de l'Union européenne

CE 33/101

—

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 16,

—

vu la Charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8, et la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), notamment son article 8 relatif à la protection de la vie privée et familiale et son article 13 relatif à un recours effectif,

—

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

—

vu la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (2),

—

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (3),

—

vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive "vie privée et communications électroniques") (4),

—

vu la Convention 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, développée par la directive 95/46/CE, et son protocole additionnel du 8 novembre 2001 concernant les autorités de contrôle et les flux transfrontières de données, et les recommandations du Comité des ministres aux États membres, en particulier la recommandation no R (87) 15 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police, et la recommandation CM/Rec. (2010)13 sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel dans le cadre du profilage,

—

vu les principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel édictés par l'Assemblée Générale de l'ONU en 1990,

—

vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée "Une approche fondée sur le marché en matière de gestion du spectre radioélectrique dans l'Union européenne" (COM(2010)0609),

—

vu les conclusions du Conseil relatives à la communication de la Commission intitulée "Une approche globale de la protection des données à caractère personnel dans l'Union européenne" (5),

—

vu l'avis du contrôleur européen de la protection des données (CEPD) du 14 janvier 2011 sur la communication de la Commission intitulée "Une approche globale de la protection des données à caractère personnel dans l'Union européenne",

—

vu la contribution conjointe du groupe de travail "Article 29" sur la protection des données et du groupe de travail "Police et justice" à la consultation de la Commission sur le cadre juridique du droit fondamental à la protection des données à caractère personnel intitulée "L'avenir de la protection de la vie privée" (6),

—

vu l'avis 8/2010 du groupe de travail "Article 29" sur la protection des données relatif à la législation applicable (7),

—

vu ses résolutions précédentes sur la protection des données et sa résolution sur le programme de Stockholm (8),

—

vu l'article 48 du règlement,

—

vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et les avis de la commission de l'industrie, de la recherche et de l'énergie, de la commission du marché intérieur et de la protection des consommateurs, de la commission de la culture et de l'éducation et de la commission des affaires juridiques (A7-0244/2011),

A.

considérant que la directive 95/46/CE sur la protection des données et la directive 2009/140/CE (paquet télécommunications) rendent possible la libre circulation des données à caractère personnel au sein du marché intérieur,

B.

considérant que la législation relative à la protection des données dans l'Union, les États membres et au-delà a donné naissance à une tradition juridique qu'il convient de sauvegarder et d'approfondir davantage,

C.

considérant que les principes fondamentaux de la directive 95/46/CE sur la protection des données restent valides, mais que les approches adoptées par les États membres pour sa mise en œuvre et son application divergent; considérant que l'Union européenne doit se doter - après une analyse d'impact exhaustive - d'un cadre global, cohérent, moderne et de haut niveau, propre à protéger efficacement les droits fondamentaux des personnes, en particulier la vie privée, lors du traitement des données à caractère personnel des personnes au sein de ses frontières et au-delà, et ce dans toutes les circonstances, afin de relever les nombreux défis que soulève la protection des données, tels que ceux qu'entraînent la mondialisation, le progrès technologique, la croissance des activités en ligne, les utilisations liées à un nombre croissant d'activités et les exigences en matière de sécurité (la lutte contre le terrorisme, par exemple); considérant qu'un cadre en matière de protection des données peut renforcer la sécurité juridique, maintenir la charge administrative au minimum, garantir des conditions équitables pour les opérateurs économiques, stimuler le marché unique numérique et susciter la confiance des citoyens dans le comportement des responsables du traitement des données et des services répressifs,

D.

considérant que les violations des dispositions relatives à la protection des données peuvent faire peser de graves risques sur les droits fondamentaux des personnes et sur les valeurs des États membres, si bien que l'Union et les États membres doivent adopter des mesures effectives contre ces violations; que ces violations entraînent un manque de confiance des citoyens qui affaiblira l'utilisation appropriée des nouvelles technologies, et qu'il conviendrait que ces utilisations malveillantes soient punissables de sanctions appropriées, sévères et dissuasives, y compris de sanctions pénales,

E.

considérant que d'autres droits fondamentaux pertinents inscrits dans la Charte ainsi que d'autres objectifs énoncés dans les traités de l'Union, tels que le droit à la liberté d'expression et d'information et le principe de transparence, doivent entrer pleinement en ligne de compte dans le respect du droit fondamental à la protection des données à caractère personnel,

F.

considérant que la nouvelle base juridique instaurée par l'article 16 du traité sur le fonctionnement de l'Union européenne et la reconnaissance à l'article 8 de la Charte des droits fondamentaux du droit à la protection des données à caractère personnel et à l'article 7 du droit au respect de la vie privée et familiale en tant que droits autonomes exigent et soutiennent pleinement une approche globale de la protection des données dans tous les domaines dans lesquels des données à caractère personnel sont traitées, y compris le secteur de la coopération policière et judiciaire en matière pénale, le secteur de la politique étrangère et de sécurité commune (PESC), sans préjudice des règles spécifiques prévues à l'article 39 du traité UE, et le secteur du traitement des données par les institutions et les organes de l'Union,

G.

considérant qu'il est d'une importance cruciale qu'une série d'éléments-clés soient pris en compte lors de l'examen de solutions législatives, en l'occurrence une protection effective, garantie quelles que soient les circonstances et indépendamment des préférences politiques, dans un délai donné; considérant que le cadre doit être stable sur une longue période et que, si des limites à l'exercice du droit peuvent s'avérer nécessaires, elles doivent néanmoins être exceptionnelles, conformes à la loi, strictement nécessaires et proportionnées, et ne jamais toucher aux éléments essentiels du droit lui-même,

H.

considérant que la collecte, l'analyse, l'échange et l'utilisation abusive de données ainsi que le danger du profilage, pratiques stimulées par la complexité du progrès technique, ont atteint des dimensions inégalées et exigent par conséquent des règles fermes en matière de protection des données, concernant notamment la législation applicable et la définition des responsabilités de toutes les parties prenantes en termes d'application de la législation européenne relative à la protection des données; considérant que les entreprises et les commerces ont de plus en plus souvent recours à des cartes de fidélité (par exemple cartes d'adhérent, de réduction, d'avantages, etc.), dont l'usage fait appel ou peut faire appel à l'établissement de profils d'utilisateurs,

I.

considérant que les citoyens ne bénéficient pas de la même sécurité pour leurs achats en ligne que hors ligne, en raison des risques de vol d'identité et du manque de transparence quant à la manière dont les informations à caractère personnel sont traitées et utilisées,

J.

considérant que la technologie permet désormais de plus en plus de créer, d'envoyer, de traiter et de stocker des données à caractère personnel sous diverses formes en tout temps et en tout lieu et que, dans ce contexte, il est primordial que les personnes concernées gardent un contrôle effectif sur leurs propres données,

K.

considérant que les droits fondamentaux à la protection des données et de la vie privée recouvrent la protection des personnes contre une éventuelle surveillance et une utilisation abusive de leurs données tant par l'État lui-même que par des entités privées,

L.

considérant que la protection de la vie privée et la sécurité peuvent coexister et qu'elles sont toutes deux d'importance cruciale pour les citoyens, c'est-à-dire qu'il n'y a pas lieu de choisir entre être libre et être en sécurité,

M.

considérant que les enfants méritent de faire l'objet d'une protection particulière, car ils peuvent être moins conscients des risques, des conséquences, des garanties et des droits liés au traitement des données à caractère personnel; que les jeunes révèlent des données à caractère personnel sur les réseaux sociaux qui se répandent rapidement sur l'internet,

N.

considérant que, pour que la personne concernée et les autorités nationales de protection des données puissent conserver un contrôle effectif des données, il est nécessaire que les responsables du traitement des données aient un comportement transparent,

O.

considérant que tous les responsables du contrôle des données ne sont pas des entreprises en ligne et que, dès lors, les nouvelles règles en matière de protection des données doivent couvrir tant l'environnement en ligne que l'environnement hors ligne, tout en prenant en compte les différences éventuelles qui les séparent,

P.

considérant que les autorités nationales responsables de la protection des données sont sujettes à des règles très variables dans les vingt-sept États membres, notamment en ce qui concerne leur statut, leurs moyens et leurs prérogatives,

Q.

considérant qu'un régime fort de protection des données européen et international est le fondement nécessaire à la circulation de données à caractère personnel à travers les frontières, et que les disparités actuelles dans la législation en matière de protection des données et dans sa mise en œuvre portent préjudice à la protection des droits fondamentaux et des libertés individuelles, à la sécurité juridique et à la clarté des relations contractuelles, au développement du commerce et de l'activité économique en ligne, à la confiance des consommateurs dans le système, aux transactions transfrontières, à l'économie mondiale et au marché unique européen; considérant que, dans ce contexte, l'échange de données est essentiel en vue de garantir la sécurité publique à l'échelle nationale et internationale; considérant que la nécessité, la proportionnalité, la limitation des finalités, la supervision et la nécessité sont des conditions préalables nécessaires aux échanges,

R.

considérant que les règles et les conditions régissant actuellement le transfert des données à caractère personnel des citoyens de l'Union vers des pays tiers ont donné lieu à des approches et des pratiques divergeant d'un État membre à l'autre; qu'il est impératif que les droits des personnes concernées soient pleinement respectés dans les pays tiers vers lesquels les données à caractère personnel sont transférées et traitées,

1.

accueille très favorablement et soutient la communication de la Commission intitulée "Une approche globale de la protection des données à caractère personnel dans l'Union européenne" et l'accent mis sur le renforcement des modalités existantes, en proposant des principes et des mécanismes nouveaux et en garantissant la cohérence et des normes élevées en matière de protection des données dans le nouveau cadre résultant de l'entrée en vigueur du traité de Lisbonne (article 16 du traité FUE) et de la Charte des droits fondamentaux, qui a maintenant un caractère contraignant, et particulièrement son article 8;

2.

souligne que les normes et principes instaurés par la directive 95/46/CE constituent un point de départ idéal et qu'il conviendrait de les développer, de les étendre et de les mettre en œuvre davantage, dans le cadre d'une législation moderne de protection des données;

3.

souligne l'importance de l'article 9 de la directive 95/46/CE, qui oblige les États membres à prévoir des exemptions aux règles en matière de protection des données quand des données à caractère personnel sont utilisées exclusivement à des fins journalistiques ou à des fins d'expression artistique ou littéraire; invite dans ce contexte la Commission à veiller à ce que ces dérogations soient maintenues et que tous les efforts soient déployés pour évaluer la nécessité d'étendre ces dérogations à la lumière de toutes les nouvelles dispositions afin de protéger la liberté de la presse;

4.

souligne qu'il convient de maintenir l'approche neutre sur le plan technologique de la directive 95/46/CE en tant que principe du nouveau cadre;

5.

reconnaît que le progrès technologique a, d'une part, donné naissance à de nouvelles menaces pour la protection des données à caractère personnel et qu'il a, d'autre part, donné lieu à une immense augmentation de l'utilisation de l'informatique à des fins quotidiennes et habituellement sans danger, et que cette évolution signifie qu'une évaluation approfondie des règles en vigueur en matière de protection des données est nécessaire afin de garantir i) que ces règles assurent toujours un haut niveau de protection, ii) qu'elles garantissent toujours un juste équilibre entre le droit à la protection des données à caractère personnel et le droit à la liberté d'expression et d'information, et iii) qu'elles n'entravent pas inutilement le traitement quotidien de données à caractère personnel qui ne représente aucun danger;

6.

estime qu'il est impératif d'étendre l'application des règles générales de protection des données aux domaines de la coopération policière et judiciaire, y compris au traitement de données au niveau national, en tenant tout particulièrement compte de la tendance contestable à réutiliser de manière systématique des données à caractère personnel du secteur privé à des fins répressives, tout en autorisant, uniquement lorsque c'est nécessaire et proportionné dans une société démocratique, des limitations strictement adaptées et harmonisées à certains droits en matière de protection des données;

7.

souligne la nécessité d'intégrer le traitement de données à caractère personnel par les institutions et les organes de l'Union européenne, qui est régi par le règlement (CE) no 45/2001, dans le champ d'application du nouveau cadre;

8.

reconnaît que des mesures supplémentaires et renforcées pourraient être nécessaires afin de préciser comment les principes généraux définis dans le cadre global s'appliquent aux activités des différents secteurs, comme cela a déjà été le cas de la directive "vie privée et communications électroniques", mais insiste sur le fait que des règles sectorielles ne doivent en aucun cas abaisser le niveau de protection assuré par la législation-cadre et doivent définir avec précision des dérogations exceptionnelles, nécessaires, justifiées et strictement adaptées aux principes généraux en matière de protection des données;

9.

invite la Commission à garantir que la révision en cours de la législation de l'Union sur la protection des données prévoira:

10.

estime que le régime révisé de protection des données, tout en appliquant pleinement les droits à la protection de la vie privée et des données, devrait maintenir les charges administratives et financières au minimum et fournir des instruments qui permettent de traiter les groupements d'entreprises exploités en tant que tels comme une entité unique et non pas comme une multitude d'entreprises individuelles; encourage la Commission à mener des études d'impact et à évaluer précisément le coût des nouvelles mesures;

11.

invite la Commission à renforcer les principes et les éléments en vigueur tels qu'ils sont énoncés dans la directive 95/46/CE, notamment les principes de transparence, de minimisation des données et de limitation de la finalité, de consentement en connaissance de cause, préalable et explicite, de notification de violation des données et le droit des personnes concernées d'accéder aux données qui ont été collectées à leur sujet, en améliorant leur mise en œuvre dans les États membres, notamment en ce qui concerne l'"environnement en ligne global";

12.

souligne que le consentement ne doit être jugé valable que lorsqu'il est clair, informé, donné de plein gré, spécifique et explicite et que des mécanismes appropriés doivent être mis en œuvre afin de consigner le consentement ou la révocation du consentement des utilisateurs;

13.

relève que l'on ne peut présumer le caractère volontaire du consentement dans le domaine des contrats de travail;

14.

s'inquiète des dérives liées à la publicité comportementale en ligne et rappelle que la directive "vie privée et communications électroniques" impose un consentement explicite et préalable de la personne concernée pour l'envoi de cookies et le suivi ultérieur de son comportement de navigation pour lui adresser des annonces personnalisées;

15.

soutient pleinement l'introduction d'un principe général de transparence ainsi que le recours aux technologies renforçant la transparence, et l'élaboration de déclarations types de confidentialité, permettant aux personnes d'exercer un contrôle sur leurs propres données; souligne que les informations sur le traitement des données doivent être fournies dans un langage clair et simple, d'une manière aisément compréhensible et accessible;

16.

souligne en outre qu'il importe d'améliorer les modalités et la sensibilisation à l'exercice des droits d'accès, de rectification, de suppression et de verrouillage des données, ainsi que de définir plus précisément et de codifier le "droit à l'oubli" (9), et de permettre la portabilité des données (10), tout en garantissant que les moyens techniques et organisationnels seront mis sur pied pour permettre l'exercice de ces droits; souligne que les personnes ont besoin d'un contrôle suffisamment élevé de leurs données en ligne pour une utilisation responsable de l'internet;

17.

souligne que les citoyens doivent être en mesure d'exercer gratuitement leurs droits en matière de protection des données; demande aux entreprises de renoncer aux tentatives visant à placer des obstacles superflus au droit d'accès, de modification et de suppression des données personnelles; souligne que les personnes concernées doivent être en mesure de savoir à tout moment quelles données ont été stockées par qui, quand, à quelle fin, pour quelle durée et les modalités de leur traitement; met en avant que les personnes concernées doivent pouvoir obtenir la suppression, la rectification ou le verrouillage de leurs données sans charge administrative et qu'elles doivent être informées de toute utilisation abusive ou violation des données; exige également que les données soient révélées à la demande de la personne concernée et supprimées au plus tard lorsqu'elle en fait la demande; souligne la nécessité de communiquer clairement aux personnes concernées le degré de protection des données existant dans les pays tiers; souligne que le droit d'accès recouvre non seulement l'accès plein et entier de la personne aux données traitées qui la concernent, y compris leur source et leurs destinataires, mais aussi des informations compréhensibles sur la logique mise en œuvre dans tout traitement automatique; souligne que le dernier point deviendra de plus en plus important du fait du profilage et de l'extraction de données;

18.

fait observer que la tendance au profilage est très marquée dans le monde numérique, notamment en raison de l'importance croissante des réseaux sociaux ainsi que des modèles d'entreprise Internet intégrés; demande, dès lors, à la Commission de prévoir des dispositions sur le profilage, tout en définissant clairement les termes "profil" et "profilage";

19.

rappelle la nécessité de renforcer les obligations des responsables du traitement des données en matière d'information des personnes concernées et se félicite de l'attention accordée par la communication aux mesures de sensibilisation visant tant le grand public en général que, plus spécifiquement, les jeunes; souligne la nécessité de traiter spécifiquement les personnes vulnérables et notamment les enfants et les personnes âgées; encourage les différentes parties prenantes à entreprendre de telles activités de sensibilisation et soutient la proposition de la Commission de cofinancer, par le biais du budget de l'Union, la sensibilisation à la législation en matière de protection des données; plaide pour la diffusion efficace, dans chaque État membre, d'informations sur les droits et obligations des personnes physiques et morales en matière de collecte, de traitement, de stockage et de communication des données à caractère personnel;

20.

rappelle la nécessité de protéger de manière spécifique les personnes vulnérables, et en particulier les enfants, notamment en imposant un haut niveau de protection des données comme paramètre par défaut et la mise en place de mesures appropriées et spécifiques pour protéger leurs données personnelles;

21.

souligne qu'il importe que la législation sur la protection des données reconnaisse la nécessité spécifique de protéger les enfants et les mineurs - également à la lumière de l'augmentation de l'accès des enfants à l'internet et aux contenus numériques - et souligne que l'éducation aux médias doit devenir un élément à part entière des programmes d'enseignement en vue de sensibiliser les enfants et les adolescents aux comportements responsables auxquels se conformer dans l'environnement en ligne; à cette fin, il conviendrait d'accorder une attention particulière aux dispositions relatives à la collecte, puis au traitement des données concernant les enfants, au renforcement du principe de limitation de la finalité dans le cas des données concernant les enfants et de la manière dont leur accord est obtenu, et à la protection contre la publicité comportementale (11);

22.

est en faveur d'une clarification plus poussée et d'un renforcement des garanties en ce qui concerne le traitement de données sensibles et plaide pour une réflexion sur la nécessité de traiter de nouvelles catégories, telles que les données génétiques et biométriques, notamment dans le cadre des évolutions technologiques (l'informatique en nuage, par exemple) et sociétales;

23.

souligne que les données personnelles relatives à la situation professionnelle de l'utilisateur données à l'employeur ne doivent pas être rendues publiques ou transmises à des tiers sans l'autorisation préalable de la personne concernée;

24.

constate que la protection des données doit jouer un rôle toujours croissant dans le marché intérieur et souligne qu'il est essentiel de protéger efficacement le droit à la vie privée pour gagner la confiance du consommateur, laquelle est nécessaire pour libérer le potentiel de pleine croissance du marché unique numérique; rappelle à la Commission que des règles et des principes communs en matière de biens et de services sont une condition préalable indispensable pour un marché unique numérique, étant donné que les services représentent une partie non négligeable du marché numérique;

25.

invite à nouveau la Commission à préciser les règles relatives à la législation applicable dans le domaine de la protection des données à caractère personnel;

26.

estime primordial de renforcer les obligations des responsables du traitement afin de garantir le respect de la législation en matière de protection des données, notamment en mettant en place des mécanismes et des procédures préventifs, et se félicite des autres orientations proposées par la communication de la Commission;

27.

rappelle que, dans ce contexte, il convient d'accorder une attention particulière aux responsables du traitement qui sont tenus à des obligations de secret professionnel et que, pour ceux-ci, il convient d'envisager l'instauration de structures spécifiques pour la supervision de la protection des données;

28.

salue et soutient l'intention de la Commission d'introduire un principe de responsabilité, capital pour assurer que les responsables du traitement agissent conformément à leurs responsabilités; invite la Commission à examiner avec attention les modalités qui permettraient de mettre ce principe concrètement en œuvre et à évaluer les conséquences de cette mise en œuvre;

29.

salue la possibilité de rendre obligatoire la désignation de délégués à la protection des données internes aux organisations, dans la mesure où l'expérience des États membres qui en ont déjà nommé montre que cette démarche est fructueuse; relève toutefois que l'application de cet aspect aux petites et microentreprises doit être évaluée avec attention afin d'éviter de leur occasionner des coûts ou des charges excessives;

30.

salue également, dans ce contexte, les efforts déployés pour simplifier et harmoniser le système actuel de notification;

31.

estime essentiel de rendre obligatoire les études d'impact sur la vie privée afin d'identifier les risques qui pèsent sur celle-ci, de prévoir les problèmes et de proposer des solutions préventives;

32.

estime qu'il est primordial que les droits des personnes concernées soient obligatoirement applicables; note que des actions de groupe pourraient être engagées en justice pour permettre ainsi aux personnes physiques de défendre de manière collective leurs droits en ce qui concerne leurs données et d'obtenir des dommages et intérêts en cas de dommages résultant de violations de données; note cependant que l'introduction de telles procédures doit être soumise à des limites afin d'éviter les abus; demande à la Commission de clarifier le rapport entre cette communication sur la protection des données et la consultation publique en cours sur le recours collectif; appelle dès lors de ses vœux un mécanisme de recours collectif en cas de violation des règles en matière de protection des données afin de permettre aux personnes concernées d'être indemnisées pour les préjudices subis;

33.

souligne la nécessité d'une mise en œuvre correcte et harmonisée dans l'ensemble de l'Union; invite la Commission à prévoir, dans sa proposition législative, des sanctions sévères et dissuasives, y compris des sanctions pénales, pour les mauvaises utilisations et les utilisations abusives des données à caractère personnel;

34.

encourage la Commission à introduire un système de notification obligatoire et générale des violations des données à caractère personnel en l'étendant aux secteurs autres que les télécommunications, tout en assurant que a) il ne devienne pas une alerte de routine pour tous les types de violations, mais qu'il intervienne uniquement pour celles qui peuvent avoir des répercussions négatives sur les personnes et que b) toutes les violations sans exceptions soient enregistrées et mises à la disposition, pour inspection et évaluation, des autorités de protection des données ou de toute autre autorité compétente, ce qui permettrait de garantir des conditions égales et une protection uniforme pour toutes les personnes;

35.

estime que les concepts de "prise en compte du respect de la vie privée dès la conception" et du "respect de la vie privée par défaut" participent au renforcement de la protection des données et souscrit à leur application concrète et à leur renforcement ainsi qu'à la nécessité de promouvoir le recours aux technologies renforçant la protection de la vie privée; souligne que toute mise en œuvre du concept de "prise en compte du respect de la vie privée dès la conception" doit reposer sur des critères et des définitions pertinents et concrets afin de protéger le droit des utilisateurs à la vie privée et à la protection des données, et d'assurer la sécurité juridique, la transparence, des conditions de concurrence équitables et la libre circulation; estime que la prise en compte du respect de la vie privée dès la conception devrait reposer sur le principe de la limitation des données, à savoir que tous les produits, services et systèmes devraient être conçus de manière à ne collecter, n'utiliser et ne transmettre que des données personnelles absolument nécessaires pour leur fonctionnement;

36.

constate que le développement et l'utilisation plus large de "l'informatique en nuage" pose de nouveaux défis en matière de vie privée et de protection des données personnelles; appelle, par conséquent, à une clarification des compétences des responsables, opérateurs et hôtes du traitement des données, afin de mieux attribuer les responsabilités juridiques correspondantes et de manière à ce que les personnes concernées sachent où leurs données sont stockées, qui y a accès, qui décide de leur utilisation et quels types de procédés de sauvegarde et de recouvrement des données sont en place;

37.

invite dès lors la Commission à dûment prendre en compte, lors de la révision de la directive 95/46/CE, les questions de protection des données que soulève "l'informatique en nuage" et de s'assurer que la législation s'applique à toutes les parties prenantes, y compris les opérateurs de systèmes de télécommunications et les autres opérateurs;

38.

appelle la Commission à responsabiliser l'ensemble des acteurs de l'internet sur la question des données à caractère personnel et exige notamment que les régies publicitaires et les éditeurs informent clairement les internautes, préalablement à toute collecte de données les concernant;

39.

salue le récent accord concernant le cadre pour l'évaluation de l'incidence sur la vie privée et la protection des données des applications de radio-identification (RFID), qui vise à protéger la vie privée des consommateurs avant que les marqueurs RFID ne soient introduits sur le marché;

40.

soutient les efforts visant à faire avancer les initiatives d'autoréglementation - telles que les codes de conduite - et la réflexion sur la mise en place de régimes européens de certification, en complément des mesures législatives, tout en réaffirmant que le modèle de l'Union en matière de protection des données est fondé sur une législation instaurant des garanties de haut niveau; invite la Commission à réaliser une analyse d'impact portant sur les initiatives en matière d'autoréglementation comme instruments permettant une meilleure application des règles relatives à la protection des données;

41.

estime que tout système de certification ou de label doit dans tous les cas avoir une intégrité et une crédibilité garanties, être neutre sur le plan technologique, pouvoir être reconnu dans le monde entier et être d'un coût abordable, afin de ne pas créer d'obstacles;

42.

estime qu'il serait judicieux de préciser, de renforcer et d'harmoniser davantage le statut et les pouvoirs des autorités nationales de protection des données, et d'explorer les moyens d'assurer une application plus cohérente des règles de l'Union en matière de protection des données dans l'ensemble du marché intérieur; souligne en outre qu'il importe d'assurer la cohérence des compétences attribuées au CEPD, aux autorités nationales de protection des données et au groupe de travail "Article 29";

43.

souligne que, dans ce contexte, le rôle et les pouvoirs du groupe de travail "Article 29" devraient être renforcés afin d'améliorer la coordination et la coopération entre les autorités de protection des données des États membres, eu égard notamment à la nécessité d'assurer une application uniforme des règles en matière de protection des données;

44.

invite la Commission à préciser dans le nouveau cadre juridique la notion essentielle d'indépendance des autorités nationales de protection des données, c'est-à-dire l'absence de toute influence extérieure (12); souligne que les autorités nationales de protection des données devraient disposer des ressources nécessaires et être investies de pouvoirs harmonisés en matière d'investigations et de sanctions;

45.

invite la Commission à rationaliser et à renforcer les procédures actuelles de transfert international de données - les accords juridiquement contraignants et les règles d'entreprise contraignantes - et à définir les éléments essentiels ambitieux sur la base des principes en matière de protection des données à caractère personnel mentionnés ci-dessus, en matière de protection des données dans l'Union, qui devront être intégrés dans les accords internationaux; souligne que les accords entre l'Union européenne et les pays tiers concernant les modifications des données à caractère personnel doivent conférer aux citoyens européens un niveau de protection de ces données équivalent à celui dont ils bénéficient à l'intérieur de l'Union;

46.

estime que la procédure d'évaluation du caractère adéquat du niveau de protection de la Commission gagnerait à être clarifiée, à être mise en œuvre, exécutée et suivie plus strictement et que les critères et les conditions de l'évaluation du niveau de protection assuré dans un pays tiers ou une organisation internationale devraient être définis plus précisément, en tenant compte des nouvelles menaces qui pèsent sur la vie privée et les données personnelles;

47.

invite la Commission à évaluer avec attention l'efficacité et la bonne application des principes de la "sphère de sécurité";

48.

approuve la position de la Commission sur la réciprocité des niveaux de protection concernant les personnes dont les données sont exportées vers – ou détenues par – des pays tiers; invite la Commission à agir fermement pour renforcer la coopération avec les pays tiers en matière de réglementation, afin de clarifier les règles applicables et la convergence entre les législations relatives à la protection des données en vigueur dans l'Union européenne et dans ces pays; invite la Commission à demander que ce point soit une priorité au programme du Conseil économique transatlantique qui a été relancé;

49.

apporte son soutien aux efforts consentis par la Commission pour renforcer la coopération avec des pays tiers et des organisations internationales, y compris les Nations unies, le Conseil de l'Europe et l'OCDE, ainsi qu'avec des organismes de normalisation comme le Comité européen de normalisation (CEN), l'Organisation internationale de normalisation (ISO), le Consortium World Wide Web (W3C) et l'Internet Engineering Task Force (IETF); encourage le développement de normes internationales (13), tout en veillant à la cohérence des initiatives de normalisation internationale et des révisions en cours au sein de l'Union européenne, de l'OCDE et du Conseil de l'Europe;

50.

charge son Président de transmettre la présente résolution au Conseil et à la Commission.