Avis du CESE: Règlement général sur la protection des données

Avis du CESE: Règlement général sur la protection des données

Points clés

  • Le CESE salue l'orientation générale prise par la Commission, marque son accord sur le choix de la base d'habilitation proposée et approuve dans le principe les objectifs de la proposition.
  • En ce qui concerne le choix du règlement en tant qu'instrument juridique le plus adéquat eu égard aux objectifs poursuivis, le CESE reste partagé et demande à la Commission de mieux démontrer et justifier les raisons qui rendent cet instrument préférable à la directive, voire indispensable.
  • Dans le contexte nouveau de l'économie numérique, le Comité partage l’opinion de la Commission selon laquelle "les personnes physiques ont le droit d’exercer une maîtrise effective sur leurs données" et il souhaite également que ce droit s’étende aux différents usages pour lesquels des profils individuels sont établis à partir de données recueillies par un grand nombre de moyens (légaux et parfois illégaux) et du traitement des données obtenues.
  • Le Comité ne peut accepter tous les renvois quasi systématiques à des actes délégués qui ne relèvent pas expressément de l'article 290 TFUE.
  • Le Comité salue la préoccupation de créer un cadre institutionnel efficace pour garantir le fonctionnement effectif des dispositions légales, tant au niveau des entreprises (délégués à la protection des données ou DPD) qu'à celui des administrations publiques des États membres (autorités de contrôle indépendantes). Toutefois, il aurait apprécié que la Commission choisisse une approche plus conforme aux réels besoins et aspirations des citoyens et plus systématisée selon la nature de certains domaines de l’activité économique et sociale.
  • Le CESE estime qu’il y a toute une série d’améliorations et de précisions possibles dans le texte proposé et donne des exemples précis relatifs à plusieurs articles.
  • Le CESE considère que les moteurs de recherche tirant la majorité de leurs revenus de la publicité ciblée grâce à la collecte de données personnelles sur leurs visiteurs, voire de leur profilage, doivent entrer expressis verbis dans le champ d'application du Règlement. Il devrait en aller de même pour les sites de serveurs offrant des espaces de stockage et, pour certains, des logiciels (informatique en nuage ou cloud computing), qui collecteraient des données sur leurs usagers à des fins commerciales.
  • Il devrait en aller de même encore pour les informations personnelles publiées sur les réseaux sociaux.
  • Enfin, le CESE demande à la Commission de reconsidérer certains aspects de la proposition qu’il juge inacceptables pour des matières sensibles comme la protection des enfants, le droit d’opposition, le profilage, certaines limitations aux droits, le seuil des 250 travailleurs pour nommer un DPD ou la façon dont est réglementé le "guichet unique".