Proposition de résolution européenne:
www.assemblee-nationale.fr/13/propositions/pion4227.asp

Suite à la publication par la Commission européenne du projet de règlement en vue de réformer en profondeur la réglementation de la protection des données personnelles (voir notre article) la deuxième réaction, après celle de la CNIL, vient sous forme d’une proposition de résolution européenne déposée auprès de l’Assemblée Nationale le 27 janvier 2012.

Le texte tout d’abord soutient le projet de réforme européen sur les points suivants:

• Le projet de réforme en lui-même.

• L’introduction du droit à l’oubli notamment dans les réseaux sociaux.

• Le renforcement des règles du recueil du consentement (un « opt in » exprès).

• L’introduction d’un principe de portabilité des données permettant de se voir restituer les données dans un format utilisable.

• La notion d’ « accountability » (une véritable démarche et responsabilité d’entreprise).

• Le CIL obligatoire pour les sociétés de plus de 250 salariés.

• L’augmentation du montant (et dans certains cas, l’introduction du principe) dans tous les pays de l’UE des sanctions financières que peuvent infliger les autorités en charge de la protection des données personnelles.

Mais d’un autre coté le texte, sur le fondement des « libertés individuelles », s’oppose ou exprime des « inquiétudes » sur les points suivants :

• Le critère du principal établissement du responsable de traitement, pour déterminer l’autorité nationale compétente.

La crainte exprimée est celle d’un « forum shoping » (choix du lieu d’implantation du principal établissement uniquement en fonction de la réglementation locale) qui se ferait au détriment des pays stricts (comme la France) en faveur des pays « souples » comme les pays « anglo-saxon ou nordiques » ou les pays dans lesquels l’autorité locale ne dispose pas de ressources adéquates. Ceci aurait pour effet d’affaiblir les autorités « plus vigilantes », comme la CNIL. (Sur ce point on peut cependant objecter qu’il y a d’autres critères, tout aussi importants, pour l’implantation de l’établissement principal comme, par exemple, la fiscalité).

La diminution du niveau de protection qui résulterait de cette réforme aurait même pour effet de rendre l’Europe moins attractive pour les investisseurs. Il nous semble que sur ce point la vision des rédacteurs est très egocentrique et que les investisseurs ont plutôt tendance à favoriser la simplification et la moindre rigidité.

En revanche, l’argument de la difficulté qu’il y aura pour les citoyens de devoir s’adresser à l’autorité d’un autre pays est bien plus convainquant.

• Le texte défend une solution alternative, fondée sur le maintien de la compétence de l’autorité de protection d’un État sur tout traitement de données ciblant spécifiquement sa population, quel que soit l’État membre sur lequel est établi le responsable de traitement (en s’éloignant donc du critère actuel de l’utilisation des moyens de traitement en France).

• La concentration des pouvoirs dans les mains de la Commission Européenne au dépend des autorités nationales.

• La Commission sera seule compétente pour élaborer les lignes directrices et les modalités d’applications des nouvelles dispositions.

• Le projet de résolution propose d’y associer d’avantage les autorités nationales. En dehors de la question de l’expertise et de l’expérience des autorités nationales, il nous semble qu’il s’agit là de l’éternel débat sur l’équilibre entre harmonisation et souveraineté nationale. Cela dit, il semble évident que si la Commission dispose seule de ce pouvoir, le dialogue avec les acteurs de la vie économique va se déplacer exclusivement à Bruxelles, entraînant une perte d’expertise (et de représentativité) des autorités nationales.

• Le mécanisme de coopération envisagé et la réduction des contrôles a priori ne garantissent pas une information suffisante des autorités nationales notamment sur les données sensibles (par ex. biométriques, génétiques ou de santé) ou sur les notifications de failles de sécurité.

• La disparation de l’autorisation pour les flux de données hors de l’UE remplacée par une autoévaluation des conditions de sécurité et d’échange.

• Ce système conduirait à une baisse « considérable » du niveau de protection (il est évident que dans ce cas le budget de la CNIL alloué à la partie autorisation serait consacré aux investigations). Après l’Assemblée nationale la commission des lois du Sénat a « réaffirmé » le 8 février « sa vigilance sur la question de la protection de la vie privée » et annoncé l’examen prochain d’une proposition de résolution européenne. La CNIL s’est félicitée de ces prises de position du Parlement proches des préoccupations qu’elle exprime sur les projets de textes européens.

Les débats sur cette réforme s’annoncent houleux notamment autour des notions de souveraineté nationales et de contrôle par les autorités qui vont s’opposer au souci de centralisation et de simplification.