Contrôler et sanctionner / Contribuer à la régulation internationale / Anticiper et innover / Les sujets de réflexion pour 2013 / Annexes
QUEL CADRE EUROPéEN DES
DONNéES PERSONNELLES ?
Suite aux consultations menées en 2011, la Commission européenne a proposé le 25 janvier
2012 une réforme de la directive de 1995 sur la protection des données personnelles, en
deux volets : une proposition de règlement définissant un cadre général et une proposition
de directive relative aux données traitées à des fins de police et de justice.
L
a réforme vise à doter l’Union de
règles uniformes adaptées aux
défis d’un environnement technologique en rapide évolution et d’une
économie mondialisée. La directive de
1995 sur la protection des données à
caractère personnel (95/46/CE) sera
abrogée et remplacée par le nouveau
règlement, d’application directe et qui
devra être mis en œuvre dans les deux
ans suivant sa publication. La nouvelle
directive remplacera notamment la
décision-cadre 2008/977 du Conseil du
27 novembre 2008, relative à la protection des données à caractère personnel
traitées dans le cadre de la coopération
policière et judiciaire en matière pénale.
La CNIL
préconise de
retenir également
le critère du
ciblage, c’està-dire le lieu
de résidence
du citoyen
concerné
Des avancées saluées par la CNIL
Tout en réaffirmant les principes
généraux relatifs aux traitements des
données à caractère personnel, la proposition contient des avancées notables
en ce qui concerne les droits du citoyen,
notamment :
le consentement des personnes au traitement de leurs données personnelles doit
être explicite ;
un « droit à l’oubli numérique » est
créé – la CNIL souhaite d’ailleurs qu’il se
prolonge d’un droit au déréférencement
auprès des moteurs de recherche ;
le droit à la portabilité des données est
reconnu ;
les obligations générales d’information
et de transparence sont renforcées ;
le sous-traitant se voit attribuer un statut
légal à part entière.
Les formalités administratives (déclarations, consultations préalables) sont
allégées au profit d’une plus grande responsabilisation des organismes. Ces derniers sont tenus de mettre en œuvre des
mécanismes et des procédures internes
afin de veiller au respect des règles
contenues dans le règlement : analyse
d’impact des traitements à risque, désignation d’un délégué à la protection des
données pour les entreprises comptant
plus de 250 employés, documentation,
règles d’entreprise contraignantes, codes
de bonne conduite et certification, etc.
Les autorités de contrôle voient leurs
compétences et pouvoirs harmonisés
(avec notamment des sanctions financières renforcées) et leur indépendance
réaffirmée. Par ailleurs, une coopération
renforcée entre autorités des différents
États membres est mise en place, avec un
rôle accru pour le G29 (rebaptisé Comité
européen pour la protection des données).
Des motifs de préoccupation
Parmi les motifs de préoccupation
identifiés par la CNIL, on retiendra principalement les suivants :
Lorsque l’entreprise a des établissements dans plusieurs États membres,
l’autorité du pays de l’établissement
principal de l’entreprise aurait, selon le
projet initial, une compétence exclusive.
La CNIL y voit une source d’insécurité juridique compte tenu de la difficulté d’iden-
tifier l’établissement principal. Elle craint
également une incitation au « forum-shopping » et un facteur d’éloignement de la
protection du citoyen. De plus, elle met en
garde contre la possibilité de recours croisés entre autorités qui seraient contraires
à l’esprit de la construction européenne.
La CNIL préconise de retenir, à côté
de l’établissement principal du responsable de traitement ou du sous-traitant,
le critère du ciblage, c’est-à-dire le lieu
65