Vue d’ensemble de l’année 2018

Dans notre stratégie 2015-2019, nous avons exposé notre vision, celle d’une Union européenne qui montre l’exemple dans le dialogue mondial sur la protection des données et le respect de la vie privée à l’ère numérique. Nous nous sommes fixés un programme stimulant et ambitieux que nous avons cherché à réaliser au cours du mandat actuel.

Nous avons accompli de grands progrès vers la réalisation de ces objectifs en 2018, une année qui pourrait être considérée comme essentielle tant dans l’histoire de la protection des données que dans l’histoire du CEPD.

Une nouvelle législation pour une nouvelle ère

L’un des trois objectifs fixés dans notre stratégie était d’ouvrir un nouveau chapitre sur la protection des données dans l’UE. Le développement technologique évolue à un rythme rapide et la manière dont nous vivons, en tant qu’individus et en tant que société, évolue également rapidement pour s’y adapter. En toute logique, les règles de l’UE en matière de protection des données ont également nécessité une mise à jour, non destinée à ralentir l’innovation, mais à faire en sorte que les droits fondamentaux des personnes soient protégés à l’ère du numérique.

Le 25 mai 2018, une nouvelle législation sur la protection des données est devenue pleinement applicable à toutes les entreprises et organisations actives dans les États membres de l’UE. Le règlement général sur la protection des données (RGPD) a marqué le premier pas vers une protection complète et efficace des données à caractère personnel et de la vie privée pour tous les citoyens de l’UE.

Grâce à cette nouvelle législation, le comité européen de la protection des données a été créé. Composé des 28 autorités chargées de la protection des données (APD) des États membres de l’UE et du CEPD, ce nouvel organe est chargé de veiller à la mise en œuvre cohérente du RGPD dans l’ensemble de l’UE. Chargés d’assurer le secrétariat de ce nouvel organe de l’UE, nous avons consacré une grande partie de notre temps et de nos efforts, au début de l’année 2018, à faire en sorte que le comité soit prêt à faire face à sa lourde charge de travail dès le premier jour du nouveau règlement. Nous avons continué à soutenir administrativement le secrétariat du comité européen de la protection des données tout au long de l’année, tout en participant pleinement en tant que membre du comité lui-même.

Nous avons encore franchi une nouvelle étape vers la mise en place d’un cadre global pour la protection des données, avec l’adoption de nouvelles règles pour les institutions et organes de l’UE. Le règlement 2018/1725 entré en vigueur le 11 décembre 2018, met les règles régissant les institutions de l’UE en conformité avec les règles énoncées dans le RGPD.

En tant qu’autorité de surveillance de la protection des données au sein des institutions et organes de l’UE, nous avons été confrontés au grand défi de veiller à ce que les institutions et organes de l’UE soient tous préparés à ces nouvelles règles. En 2017, nous avons lancé une campagne de visites, de sessions de formation et de rencontres (voir Formations CEPD), qui se sont intensifiées au cours de l’année 2018. Celles-ci visaient à sensibiliser aux nouvelles règles et à contribuer à ce que les institutions de l’UE disposent des connaissances et des outils nécessaires pour les mettre en œuvre.

L’une des priorités de ces activités était d’encourager le développement d’une culture de la responsabilité au sein des institutions de l’UE. Nous avons voulu veiller à ce que non seulement elles respectent les règles de protection des données, mais aussi à ce qu’elles puissent démontrer cette conformité. L’idée était de faire prendre conscience que le traitement des données à caractère personnel, même s’il est fait de manière licite, peut mettre en péril les droits et libertés des personnes. Ces activités se poursuivront en 2019, dans la mesure où nous nous efforçons de veiller à ce que les institutions de l’UE montrent la voie dans l’application des nouvelles règles en matière de protection des données.

L’utilisation abusive des données à caractère personnel à des fins de suivi et de profilage et le rôle de la technologie dans notre société ont fait l’objet d’un débat public important en 2018. Le CEPD et la communauté de la protection des données en général ont été en première ligne de ce débat, avec une contribution du CEPD sur deux fronts principaux : par notre avis sur la manipulation en ligne et les données à caractère personnel, ainsi que par notre avis sur la protection de la vie privée dès la conception.

Alors que le premier était axé sur la nécessité d’étendre la portée de la protection accordée aux intérêts des personnes dans la société numérique d’aujourd’hui, le second cherchait à relever les nouveaux défis découlant de l’évolution technologique et juridique. Sur le plan juridique, la nouvelle génération de règles en matière de protection des données prévues par le RGPD, la directive 2016/680 et le règlement 2018/1725 relatif au traitement des données à caractère personnel par les institutions de l’Union européenne exige que les responsables du traitement tiennent compte de l’état de la technique en matière de mesures techniques et organisationnelles afin de mettre en œuvre les principes et les garanties en matière de protection des données. Cela implique également que les autorités de surveillance soient conscientes de l’état de la technique dans ce domaine et qu’elles suivent son évolution. La coopération dans ce domaine revêt une importance capitale pour garantir l’application cohérente de ces principes. L’avis s’est également fondé sur nos travaux avec le réseau d’ingénierie de la vie privée sur Internet (IPEN) pour encourager le dialogue entre les décideurs politiques, les régulateurs, l’industrie, les milieux universitaires et la société civile sur la façon dont les nouvelles technologies peuvent être conçues de manière à profiter aux individus et à la société.

Les nouvelles règles en matière de protection des données introduisent également le principe de responsabilité. Tous les responsables du traitement, y compris les institutions et organes de l’UE, doivent s’assurer qu’ils sont en mesure de démontrer le respect des nouvelles règles. Cela s’applique également à la gestion et à la gouvernance de leurs infrastructures et systèmes informatiques. Pour y contribuer, nous avons élargi notre catalogue de lignes directrices spécifiques afin d’inclure, entre autres, des lignes directrices sur l’utilisation des services d’informatique en nuage par l’administration de l’UE et d’autres orientations sur la gestion informatique et la gouvernance informatique. En 2018, nous avons également lancé un programme systématique visant à vérifier la conformité des organes de l’Union avec les lignes directrices du CEPD.

Trouver un équilibre entre sécurité et protection de la vie privée

Le 1^er mai 2018, marque le premier anniversaire de la supervision par le CEPD de l’Agence de l’UE pour la coopération des services répressifs (Europol). L’un des points d’action énoncés dans notre stratégie, qui fait partie intégrante de l’ouverture d’un nouveau chapitre sur la protection des données dans l’UE, est de promouvoir une vision plus mûre en matière de sécurité et de respect de la vie privée. En tant qu’agence de l’Union chargée de garantir la sécurité de l’UE tout en protégeant les droits fondamentaux au respect de la vie privée et à la protection des données, Europol est un bon exemple des progrès que nous accomplissons dans ce domaine.

Nous continuons à entretenir une relation étroite avec le délégué à la protection des données (DPD) d’Europol et l’unité « Fonction à la protection des données », ce qui nous permet de nous assurer que nous sommes capables d’anticiper d’éventuels problèmes et de planifier des activités futures. Nous avons effectué notre deuxième contrôle des activités de traitement des données auprès de l’agence en mai 2018 et nous avons continué à fournir des conseils et à traiter les plaintes, le cas échéant.

La sécurité des frontières de l’UE reste un sujet brûlant, et le législateur de l’UE a présenté en 2018 plusieurs nouvelles propositions visant à renforcer la sécurité et à améliorer la gestion des frontières. Si nous reconnaissons la nécessité de renforcer la sécurité de l’UE, cela ne devrait pas se faire au détriment de la protection des données et de la vie privée.

Contribuer à l’élaboration responsable et éclairée des politiques est un élément fondamental pour ouvrir un nouveau chapitre sur la protection des données de l’UE. Dans cette optique, nous avons émis plusieurs avis sur la proposition de politique des frontières de l’UE en 2018. L’un de ces avis portait sur l’avenir du partage d’informations au sein de l’UE, et notamment sur deux propositions de règlement qui établiraient un cadre d’interopérabilité entre les systèmes d’information à grande échelle de l’UE. Étant donné que les implications d’une telle proposition sur la protection des données et les libertés et droits fondamentaux sont incertains, nous lancerons un débat sur cette question au début de l’année 2019 afin de nous assurer de la prise en compte de ces éléments.

Nous avons également poursuivi notre étroite coopération avec les APD afin de garantir une surveillance efficace et coordonnée des grandes bases de données informatiques de l’UE, utilisées pour soutenir les politiques de l’UE en matière d’asile, de gestion des frontières, de coopération policière et de migration.

Développer des partenariats

Le fait de faciliter une élaboration responsable et éclairée des politiques est toutefois loin de se limiter au domaine de la sécurité de l’UE et de la politique des frontières. En 2018, le CEPD a émis 11 avis, dont deux sur demande du Conseil, concernant des questions allant de la compétence en matière matrimoniale à l’interopérabilité des systèmes d’information à grande échelle de l’UE.

Nous avons également publié 14 séries d’observations formelles. Celles-ci sont équivalentes aux avis, mais sont généralement plus courtes et plus techniques. Certaines de nos observations ont été expressément demandées par le Parlement européen, ou l’une de ses commissions, et ne concernaient pas les propositions législatives initiales, mais les projets de modifications et de résultats des négociations entre les co-législateurs.

Nous avons également traité plus de 30 consultations informelles sur des projets de propositions de la Commission. Ces chiffres démontrent clairement la nécessité accrue et la pertinence de conseils d’experts indépendants sur l’impact des initiatives de l’UE en matière de protection des données. Ils démontrent également l’intérêt croissant des acteurs institutionnels de l’UE en la matière. Nous nous réjouissons d’ors et déjà de poursuivre cette coopération mutuellement bénéfique dans les années à venir alors que le nouveau règlement 2018/1725 accroît ces pouvoirs de consultation législative.

Nous avons également poursuivi nos efforts pour veiller à ce que les activités au sein des institutions de l’UE soient menées conformément à la législation applicable en matière de protection des données, à l’émission d’avis de vérification préalable, à l’examen des plaintes et au contrôle du respect des différents instruments dont nous disposons.

La stratégie engage le CEPD à établir des partenariats en vue de parvenir à une plus grande convergence de la protection des données au niveau mondial. Alors que les données circulent au niveau international, par-delà les frontières, les règles en matière de protection des données sont décidées dans une large mesure au niveau national, voire au niveau régional.

Dans cette perspective, nous continuons à travailler avec nos partenaires régionaux et internationaux afin d’intégrer la protection des données dans les accords internationaux et d’assurer ainsi une protection cohérente des données à caractère personnel dans le monde entier.

Nous participons également aux discussions sur les résultats en matière d’adéquation. Ces accords sont conclus par la Commission européenne au nom des États membres de l’UE et prévoient le transfert de données des pays de l’UE vers des pays tiers dont les règles de protection des données sont considérées comme assurant une protection adéquate. Plus précisément, en 2018, nous avons contribué au deuxième réexamen conjoint du bouclier de protection des données UE-États-Unis et à l’avis du comité européen de la protection des données sur un projet d’accord d’adéquation avec le Japon.

L’éthique numérique et la conférence internationale

Nous avons lancé l’initiative en matière d’éthique du CEPD en 2015, dans le cadre de notre engagement à forger des partenariats à l’échelle mondiale. Nous souhaitions favoriser une discussion mondiale sur la manière dont nos droits fondamentaux et nos valeurs peuvent être défendus à l’ère du numérique.

Trois ans plus tard, l’éthique numérique est aujourd’hui inscrite à l’ordre du jour international.

Nous avons débuté l’année 2018 par la publication du rapport du groupe consultatif sur l’éthique. Le rapport est un outil utile pour nous aider à comprendre comment la révolution numérique a changé notre mode de vie, à la fois en tant qu’individus et en tant que société. Il décrit également les changements et les défis que cela implique pour la protection des données. À partir de là, nous avons pu élargir notre enquête afin de toucher un public beaucoup plus large, grâce à une consultation publique lancée au début de l’été 2018. Les résultats de la consultation ont révélé l’importance de l’éthique pour aller de l’avant et appelé les APD à jouer un rôle proactif à cet égard.

Cependant, c’est la Conférence internationale des commissaires à la protection des données et de la vie privée, surnommée Jeux olympiques de la protection des données par le CEPD, Giovanni Buttarelli, qui a réellement lancé la discussion sur l’éthique numérique sur la scène internationale.

La session publique de la conférence internationale s’est concentrée sur le Débat sur l’éthique : La dignité et le respect dans une vie dominée par les données. Avec la participation de plus de 1 000 personnes issues d’horizons divers, de nationalités et de professions différentes, d’orateurs de haut rang et une couverture médiatique considérable, l’événement a contribué à favoriser le débat sur la question et à placer ces nouvelles questions éthiques et juridiques au cœur des préoccupations des autorités chargées de la protection des données et d’autres acteursà travers le monde. Le CEPD est désormais considéré comme un leader dans ce domaine et il s’efforcera de continuer à faire avancer le débat.

Administration interne

Compte tenu de l’élargissement de notre rôle et de nos responsabilités, une bonne administration interne a été plus importante que jamais pour que nous puissions atteindre nos objectifs.

L’unité « Ressources humaines, budget et administration » du CEPD a abordé deux tâches préparatoires particulièrement importantes en 2018. Les travaux préparatoires pour le nouveau secrétariat du comité européen de la protection des données se sont considérablement intensifiés afin de veiller à ce que le comité soit prêt, sur le plan administratif et logistique, à commencer ses travaux le 25 mai 2018. Il s’agissait notamment de veiller à ce que tous les membres du personnel du comité de la protection des données soient soumis aux mêmes règles que ceux travaillant pour le CEPD et puissent bénéficier des mêmes droits.

En amont du nouveau règlement sur la protection des données pour les institutions de l’UE, nous avons également dû veiller à ce que toutes les décisions prises par le CEPD en matière de ressources humaines soient conformes aux nouvelles règles. Nous avons donc procédé à un examen complet de toutes les activités de traitement des données relatives aux RH du CEPD et avons revu notre approche en fonction des besoins.

En plus d’un certain nombre d’initiatives visant à améliorer nos politiques en matière de ressources humaines, nous avons lancé un nouveau concours général pour créer une liste de réserve d’experts hautement qualifiés en matière de protection des données afin de satisfaire nos futurs besoins en matière de recrutement. À l’aube de l’année 2019, notre objectif principal est de garantir un environnement de travail efficace et agréable pour tous ceux qui travaillent au CEPD.

Communiquer sur la protection des données

L’importance des activités de communication du CEPD s’est considérablement intensifiée au cours des dernières années. Une communication efficace est essentielle pour que nous puissions atteindre les objectifs fixés par notre stratégie. Si notre travail n’est pas visible, il ne peut avoir l’impact requis.

En plus de consolider nos efforts pour améliorer et accroître l’impact de notre présence en ligne, nous avons lancé et mis en œuvre deux campagnes de communication. Nos efforts de communication pour la conférence internationale de 2018 ont non seulement contribué à faire en sorte que la conférence soit elle-même un succès, mais que le débat sur l’éthique numérique atteigne le public le plus large possible.

En décembre 2018, nous avons concentré notre attention sur le nouveau règlement relatif à la protection des données pour les institutions de l’UE. Notre campagne de communication était conçue de façon à compléter et renforcer les activités de sensibilisation en cours. Elle était destinée non seulement aux membres du personnel de l’UE, mais aussi à faire en sorte que les personnes extérieures aux institutions de l’UE aient connaissance des nouvelles règles et de la manière dont elles pourraient avoir une incidence sur elles.

La présence et l’influence du CEPD à l’échelle mondiale ne pouvant que croître, nous prévoyons une nouvelle année chargée en 2019.

Indicateurs clés de performance 2018

Nous utilisons un certain nombre d’indicateurs clés de performance (ICP) pour nous aider à suivre nos performances. Cela garantit notre capacité à adapter nos activités, si nécessaire, pour accroître l’impact de nos travaux et l’efficacité de notre utilisation des ressources. Ces ICP reflètent les objectifs stratégiques et le plan d’action définis dans notre stratégie 2015-2019.

Le tableau de bord des ICP, reproduit ci-après, comprend une description succincte de chaque ICP et les résultats obtenus au 31 décembre 2018. Dans la plupart des cas, ces résultats sont mesurés par rapport aux objectifs initiaux.

En 2018, nous avons atteint ou dépassé, dans certains cas de manière significative, les objectifs fixés dans la majorité de nos ICP. Cela montre que la mise en œuvre des objectifs stratégiques concernés est en bonne voie et qu’aucune mesure corrective n’est donc nécessaire.

Dans deux cas, nous n’avons pas de résultats de suivi. Dans le cas de l’ICP 6, au cours de l’année 2018, nous avons choisi de suivre et de classer par ordre de priorité nos activités politiques par rapport aux actions prioritaires pertinentes décrites dans notre stratégie, au lieu de publier une liste de priorités. Nous avons pris cette décision car nous avons estimé qu’il s’agissait d’une manière plus efficace de veiller au respect des objectifs fixés dans la stratégie du CEPD.

Dans le cas de l’ICP 7, nous ne sommes pas capables actuellement de mesurer avec précision le nombre de visiteurs du site web du CEPD, en raison d’un changement dans la politique en matière de cookies et de suivi de notre site web. Cette modification vise à faire en sorte que les utilisateurs de notre site web soient en mesure d’opter sciemment pour que leur activité en ligne soit suivie sur le site web du CEPD. Elle veillera donc à ce que le site internet soit aussi favorable que possible à la protection des données. C’est pourquoi les résultats pour l’ICP 7 ne sont pas complets.

L’objectif pour l’ICP 4 est réajusté chaque année, conformément au cycle législatif.

INDICATEURS CLÉS DE PERFORMANCE		RÉSULTATS AU 31.12.2018	OBJECTIF 2018
Objectif 1 – La protection des données passe au numérique
ICP 1 Indicateur interne	Nombre d’initiatives visant à promouvoir les technologies destinées à améliorer le respect de la vie privée et la protection des données organisées ou co-organisées par le CEPD	9	9 initiatives
ICP 2 Indicateur interne et externe	Nombre d’activités axées sur des solutions stratégiques interdisciplinaires (internes et externes)	8	8 activités
Objectif 2 – Forger des partenariats à l’échelle mondiale
ICP 3 Indicateur interne	Nombre d’affaires traitées au niveau international (comité européen de la protection des données, CdE, OCDE, GPEN, conférences internationales) pour lesquelles le CEPD a fourni une contribution écrite importante	31	10 dossiers
Objectif 3 – Ouvrir un nouveau chapitre consacré à la protection des données dans l’UE
ICP 4 indicateur externe	Niveau d’intérêt des parties prenantes (COM, PE, Conseil, APD, etc.)	15	10 consultations
ICP 5 indicateur externe	Niveau de satisfaction du DPD/du CPD/des contrôleurs sur la coopération avec le CEPD et lignes directrices, y compris la satisfaction des personnes concernées en ce qui concerne les formations	95 %	70 %
ICP 6 Indicateur interne	Taux d’exécution des dossiers dans la liste de priorité du CEPD (régulièrement mise à jour) sous la forme de commentaires informels et d’avis formels	Sans objet	Sans objet
Facteurs – Communication et gestion des ressources
ICP 7	Nombre de visites sur le site web du CEPD	Sans objet	195 715 visites (résultats de 2015) atteintes
Indicateur externe composite	Nombre de followers sur le compte Twitter du CEPD	14 000	9 407 followers (résultats de 2017) + 10 %
ICP 8 Indicateur interne	Niveau de satisfaction du personnel	75 %	75 %
ICP 9 Indicateur interne	Exécution du budget	93,8 %	90 %

Principaux objectifs pour 2019

Les objectifs énoncés ci-après ont été retenus pour 2019 dans le cadre de la stratégie globale 2015-2019. Nous exposerons les résultats dans le rapport annuel de 2019.

Garantir l’application correcte du règlement 2018/1725

Les nouvelles règles en matière de protection des données pour les institutions et organes de l’UE sont devenues pleinement applicables le 11 décembre 2018. En 2019, nous poursuivrons notre campagne pour veiller à ce que tant ceux qui travaillent pour les institutions de l’UE que les autres soient en mesure de développer une meilleure compréhension des exigences du nouveau règlement et une plus grande prise de conscience des risques liés au traitement des données à caractère personnel.

Au sein des institutions de l’UE, nous continuerons à nous concentrer sur le développement d’une culture de la responsabilité. Il s’agit de fournir aux délégués à la protection des données (DPD), à la direction et aux membres du personnel de l’UE les connaissances et les outils nécessaires pour aller au-delà de la simple conformité, afin de veiller à ce qu’ils soient également en mesure de démontrer cette conformité.

Une nouvelle base juridique pour les activités relatives aux politiques et aux consultations

Le règlement 2018/1725 renforce le rôle du CEPD dans nos activités relatives aux politiques et aux consultations. La Commission européenne est désormais explicitement tenue de consulter le CEPD dans des cas spécifiques et nous devons lui donner des conseils dans un délai de huit semaines à compter de la réception de sa demande. La nouvelle législation prévoit également la possibilité d’émettre des avis conjoints avec le comité européen de la protection des données.

En 2019, nous collaborerons avec la Commission et le comité européen de la protection des données pour veiller à ce que des procédures appropriées soient mises en place pour soutenir ces nouvelles dispositions et nous allons revoir et actualiser nos règles internes ainsi que d’autres documents d’orientation pertinents. Nous resterons également à la disposition de la Commission européenne, du Parlement européen et du Conseil afin de fournir des conseils formels ou informels à tout moment du processus décisionnel.

Fournir des orientations sur la nécessité et la proportionnalité

En 2019, nous terminerons nos travaux sur la mise à disposition d’une méthodologie à l’intention du législateur européen pour évaluer la nécessité et la proportionnalité des mesures législatives ayant une incidence sur les droits fondamentaux au respect de la vie privée et à la protection des données. Concrètement, nous élaborerons des lignes directrices sur la proportionnalité, en achevant les travaux entamés avec la publication de notre boîte à outils sur la nécessité en avril 2017. Ce faisant, nous avons pour objectif de fournir aux institutions de l’UE un cadre qui les aidera à adopter une approche proactive pour mettre en œuvre les garanties en matière de protection des données dans la politique de l’UE.

Faciliter un débat plus large sur l’interopérabilité

Dans notre avis de 2018 sur l’interopérabilité entre les systèmes d’information à grande échelle de l’UE, nous avons appelé à un débat plus large sur l’avenir de ces systèmes, leur gouvernance et la manière de préserver les droits fondamentaux dans ce domaine. Nous lancerons ce débat en 2019, avec un panel de haut niveau sur le thème lors de la conférence annuelle sur les ordinateurs, la vie privée et la protection des données (CPDP), qui aura lieu à Bruxelles du 30 janvier au 1^er février 2019.

Le nouveau règlement 2018/1725 prévoit un modèle unique de surveillance coordonnée des systèmes d’information à grande échelle de l’UE et des organes, offices et agences de l’UE, qui doit être mis en œuvre par le CEPD et les autorités nationales de surveillance. Aux côtés de nos partenaires des APD nationales, nous réfléchirons à l’avenir d’une surveillance coordonnée au cours de l’année 2019.

Sécuriser les informations

Le nouveau règlement relatif à la protection des données au sein des institutions de l’UE introduit de nouveaux concepts qui soulignent l’importance de la sécurité de l’information. Il s’agit notamment de notifications obligatoires de violations de données et du recours à la pseudonymisation en tant que mesure de sécurité reconnue.

Pour ce faire, nous devrons accroître nos capacités et nos compétences en matière de surveillance et d’évaluation des mesures prises par les institutions de l’UE pour se mettre en conformité. Nous devons également être en mesure de réagir rapidement aux notifications de violations de données et d’autres incidents de sécurité, afin que tout effet négatif sur les droits fondamentaux des personnes soit limité. Nous continuerons à mener des inspections axées sur les aspects technologiques, en particulier ceux relatifs aux systèmes informatiques à grande échelle et dans le domaine de la sécurité et de l’application de la loi.

Gérer le passage à la surveillance par Eurojust

Grâce à notre rôle de surveillance, désormais bien établi au sein d’Europol, le CEPD se chargera, en 2019, de surveiller le traitement des données à caractère personnel dans une autre agence de l’UE travaillant dans le domaine de la justice et des affaires intérieures : Eurojust

Un nouveau cadre juridique pour Eurojust, qui comprend de nouvelles règles de protection des données propres aux activités de l’agence, a été adopté le 6 novembre 2018. Il prévoit que le CEPD joue un rôle de surveillance. Afin de nous préparer à notre nouveau rôle, le personnel du CEPD organisera des sessions de formation internes et externes liées à la surveillance par Eurojust, toutes visant à garantir que nous sommes prêts à assumer notre nouveau rôle à la fin de l’année 2019.

Mettre en œuvre la protection des données dès la conception et par défaut au sein des institutions européennes

En vertu des nouvelles règles en matière de protection des données, les institutions de l’UE sont tenues de mettre en œuvre les principes de la protection des données dès la conception et par défaut lors de l’élaboration et de l’exploitation de systèmes de traitement des données. Nous intensifierons donc nos efforts pour recenser et promouvoir des solutions technologiques concrètes en 2019. Il s’agira notamment de suivre régulièrement l’évolution des TIC afin de fournir des orientations et des formations sur la mise en œuvre technique de la protection des données.

Fournir des orientations sur la technologie et la protection des données

En 2018, nous avons publié des lignes directrices sur la protection des données à caractère personnel dans le domaine de la gouvernance et gestion de l’informatique, de l’informatique en nuage et des notifications de violation de données. En 2019, nous publierons des orientations actualisées visant à améliorer la responsabilité en matière de TI et fournirons des conseils stratégiques sur des technologies ou des méthodologies spécifiques, en accordant une attention particulière à la sécurité.

Afin d’assurer la cohérence avec les conseils et les pratiques d’autres autorités de protection des données (APD), nous suivrons les orientations du comité européen de la protection des données sur ces sujets et nous contribuerons à ses travaux sur des orientations harmonisées.

Nous continuerons également à coopérer avec nos partenaires internationaux en matière de technologie et de protection des données, y compris la Conférence internationale des commissaires à la protection des données et de la vie privée (ICDPPC) et ses groupes de travail, ainsi qu’avec le groupe de travail international sur la protection des données dans les télécommunications (IWGDPT, dit « groupe de Berlin »).

En procédant à des inspections et à des enquêtes, nous poursuivrons nos efforts pour évaluer le respect de la protection des données au sein des institutions de l’UE. Dans la mesure du possible, nous nous efforcerons de les réaliser à distance, à partir du laboratoire du CEPD.

Soutenir le réseau d’ingénierie de la vie privée sur Internet (IPEN)

En tant que réseau d’experts en technologie et en protection de la vie privée issus des APD, de l’industrie, du monde universitaire et de la société civile, l’IPEN jouera un rôle important en transposant les principes de protection des données dans les exigences en matière d’ingénierie. Nous soutiendrons le réseau en intensifiant ses efforts visant à promouvoir des techniques respectueuses de la vie privée et des techniques d’ingénierie soucieuses de la vie privée. En particulier, nous concentrerons nos efforts sur la transposition du principe de respect de la vie privée dès la conception dans les exigences en matière d’ingénierie et sur la facilitation de l’échange entre ingénieurs et experts en protection de la vie privée sur des solutions techniques pour les questions relatives à la protection de la vie privée, au moyen d’ateliers et de présentations lors de manifestations publiques.

La nouvelle obligation légale visant à appliquer le principe de la protection des données dès la conception et par défaut dans la conception et le fonctionnement des systèmes informatiques utilisés pour le traitement des données à caractère personnel a accru l’importance du travail dans ce domaine, notamment pour l’évaluation des possibilités techniques et pour la mise en œuvre des activités de surveillance et d’exécution.

Coopération continue avec les partenaires européens et internationaux

La nouvelle législation de l’UE étant désormais pleinement applicable, la coopération avec nos partenaires en matière de protection des données à l’intérieur et à l’extérieur de l’UE est plus importante que jamais. La coopération avec les APD des États membres se poursuivra à de nombreux niveaux et au sein du comité européen de la protection des données en particulier, dans la mesure où l’accent sera mis sur la poursuite de la participation active aux travaux du sous-groupe « Dispositions clés » et en tant que membre de l’équipe chargée de rédiger les modifications du règlement intérieur du comité européen de la protection des données.

En poursuivant nos travaux avec des organisations internationales, nous organiserons un atelier à la mi-2019, qui aura lieu à Paris. Nos efforts pour promouvoir un dialogue au niveau international avec les autorités, les organisations et d’autres groupes extérieurs à l’UE resteront également une priorité.

Maintenir la dynamique en faveur de l’initiative relative à l’éthique

Après le succès de la conférence internationale des commissaires à la protection des données et de la vie privée de 2018, notre défi consiste désormais à faire en sorte que cette dynamique se poursuive. Lors d’une manifestation qui se tiendra au début de l’année 2019 dans le cadre de la Conférence sur la protection des données, de la vie privée et des données (CPDP), nous allons lancer plusieurs nouvelles activités destinées précisément à cet effet. Il s’agit notamment :

• d’une série de conversations publiques sous la forme de conférences téléphoniques, de discussions en direct sur le web ou de podcasts, avec des experts de différents domaines, y compris les APD ;
• des avis de leaders d’opinion sur le thème de l’éthique numérique, qui seront publiés en ligne ;
• d’un nouvel avis du CEPD sur l’éthique, sur la base de notre avis de 2015 et du rapport du groupe consultatif sur l’éthique ;
• d’une manifestation parallèle sur l’éthique, qui aura lieu lors de la conférence internationale des commissaires à la protection des données et de la vie privée de 2019.

Grâce à ces activités, nous espérons poursuivre les progrès en vue de parvenir à un consensus international sur l’éthique numérique.

Comment prendre contact avec l’Union européenne?

En personne
Dans toute l’Union européenne, des centaines de centres d’information Europe Direct sont à votre disposition. Pour connaître l’adresse du centre le plus proche, visitez la page suivante : https://europa.eu/european-union/contact_fr

Par téléphone ou courrier électronique
Europe Direct est un service qui répond à vos questions sur l’Union européenne. Vous pouvez prendre contact avec ce service :

• par téléphone :
  • via un numéro gratuit : 00 800 6 7 8 9 10 11 (certains opérateurs facturent cependant ces appels),
  • au numéro de standard suivant : +32 22999696;
• par courrier électronique via la page https://europa.eu/european-union/contact_fr

Comment trouver des informations sur l’Union européenne?

En ligne
Des informations sur l’Union européenne sont disponibles, dans toutes les langues officielles de l’UE, sur le site internet Europa à l’adresse https://europa.eu/european-union/index_fr

Publications de l’Union européenne
Vous pouvez télécharger ou commander des publications gratuites et payantes à l’adresse https://publications.europa.eu/fr/publications. Vous pouvez obtenir plusieurs exemplaires de publications gratuites en contactant Europe Direct ou votre centre d’information local (https://europa.eu/european-union/contact_fr).

Droit de l’Union européenne et documents connexes
Pour accéder aux informations juridiques de l’Union, y compris à l’ensemble du droit de l’UE depuis 1952 dans toutes les versions linguistiques officielles, consultez EUR-Lex à l’adresse suivante : http://eur-lex.europa.eu

Données ouvertes de l’Union européenne
Le portail des données ouvertes de l’Union européenne (http://data.europa.eu/euodp/fr) donne accès à des ensembles de données provenant de l’UE. Les données peuvent être téléchargées et réutilisées gratuitement, à des fins commerciales ou non commerciales.

Contact

Des informations supplémentaires sur le CEPD figurent sur notre site web à l’adresse : http://www.edps.europa.eu.

Le site web vous permet également de vous abonner à notre newsletter.

 

www.edps.europa.eu
EU_EDPS
EDPS
European Data Protection Supervisor

 

Luxembourg : Office des publications de l’Union européenne, 2019

© Photos : iStockphoto/CEPD et Union européenne

Le Contrôleur européen de la protection des données, 2019

Reproduction autorisée, moyennant mention de la source

Print	ISBN 978-92-9242-283-7	ISSN 1831-0516	doi:10.2804/8547	QT-AB-19-001-FR-C
PDF	ISBN 978-92-9242-314-8	ISSN 1977-8341	doi:10.2804/754435	QT-AB-19-001-FR-N
HTML	ISBN 978-92-9242-317-9	ISSN 1977-8341	doi:10.2804/041644	QT-AB-19-001-FR-Q