66
rapport d’activité 2012
Informer et éduquer / Conseiller et réglementer / Accompagner la conformité / Protéger les citoyens /
de résidence du citoyen concerné. Une
autorité chef de file disposant de compétence non exclusive serait désignée et
agirait pour le compte des autres autorités concernées selon un système de
codécision.
La possibilité est ouverte aux entreprises d’encadrer les transferts de données hors UE grâce à des instruments
juridiques non contraignants ou résultant
d’une autoévaluation des risques par le
responsable de traitement.
La CNIL considère qu’il est essentiel
de maintenir un contrôle a priori sur les
transferts, sur la base de règles clairement définies, et d’écarter la possibilité
de recours à des instruments sans valeur
juridique pour encadrer ces transferts.
Le pouvoir est donné à la Commission
européenne d’adopter des actes délégués
et d’exécution dans un nombre important
de domaines.
La CNIL souhaite une meilleure
ventilation des compétences entre la
Commission, le nouveau Comité européen
et les autorités de contrôle nationales.
L’intention est de
parvenir à une
adoption du règlement
à la fin de l’année
2013, pour mise en
œuvre dès 2016
Les avis du G29
La CNIL a participé activement aux
travaux du sous-groupe « Futur de la vie
privée » du G29. Soucieuse que le citoyen
reste au cœur du projet, elle s’est montrée
particulièrement active sur la problématique de la compétence, multipliant les
contacts avec ses homologues, la présidence du G29 et le Contrôleur européen
de la protection des données.
Un premier avis, adopté le 23 mars
2012, reprenant sensiblement la position de la CNIL, démontre un partage des
préoccupations eu égard à la proposition
de règlement entre les autorités de protection des données membres du G29.
Cet avis aborde d’autres questions, telles
que le seuil pour l’application de certaines
règles aux entreprises, la proportionnalité et la modulation des sanctions en
fonction des mécanismes mis en place
par les entreprises, les exemptions
applicables aux autorités publiques ou la
désignation d’un représentant du responsable de traitement qui n’est pas établi
dans l’Union européenne. Le G29 a par
ailleurs souligné la nécessité d’assurer
la complémentarité et la cohérence des
deux instruments proposés – règlement
et directive.
Après la publication de ce premier avis
général, le G29 a poursuivi ses travaux
sur des problématiques plus spécifiques
de la proposition de règlement, qui ont
abouti à un second avis du 5 octobre
2012. Dans cet avis, le G29 défend le
caractère nécessairement explicite du
consentement, l’inclusion des adresses
IP dans la définition des données personnelles et un recours limité aux actes délégués pour la mise en œuvre du règlement.
Le processus décisionnel
La CNIL a poursuivi ses échanges
avec ses interlocuteurs à la direction
générale de la justice, des droits fondamentaux et de la citoyenneté de la
Commission européenne, afin d’exposer
ses préoccupations. Toutefois, en 2012,
les discussions se sont déplacées au
Parlement européen et au Conseil de
l’Union européenne. L’intention déclarée par la Commission européenne, le
rapporteur au Parlement européen et la
présidence irlandaise de l’Union est de
parvenir à une adoption du règlement
à la fin de l’année 2013, pour mise en
œuvre dès 2016.
La CNIL a aussi sensibilisé la commission des affaires étrangères de
l’Assemblée nationale et la commission
des affaires européennes du Sénat.
Respectivement en février et en mars,
les deux assemblées ont exprimé dans
une résolution européenne des réserves
sur la proposition de règlement en ce qui
concerne les règles de compétence, rejoignant en cela la position exprimée par la
CNIL. Le 8 février 2012, à l’occasion
d’un débat organisé en séance publique
au Sénat sur la question de la protection
de la vie privée, le Ministre de la Justice,
garde des Sceaux, s’était prononcé très
clairement contre le critère de l’établissement principal.
Les discussions avec le gouvernement
français se sont poursuivies tout au long
de l’année 2012 et devraient continuer
en 2013.