Close
  • Français
  • English

03/06/2013Le futur règlement européen sur la protection des données à caractère personnel – Quels obstacles à sa mise en œuvre effective ? [Par Hugo Lemarchand, CEIS]

Vers un risque de forum shopping au sein de l’Union européenne ?

L’autre aspect qui suscite des interrogations se situe cette fois-ci à l’intérieur du territoire de l’Union. En effet, si les règles prévues par ce futur règlement seront communes, l’application qui en sera faite par les CNIL européennes ne sera pas nécessairement homogène. Non parce que les autorités en question auront une latitude dans l’application dudit règlement mais bien parce qu’elles ne possèdent pas toutes les mêmes moyens et compétences et ne peuvent donc pas assurer l’application à un même niveau ces règles communes. Se profile ainsi le risque de voir naître un dumping intracommunautaire concernant la protection des données.

Le projet de règlement prévoit en effet un dispositif de « guichet unique » selon lequel la compétence pour recevoir les notifications d’incidents de la part d’une entreprise est attribuée à l’autorité de contrôle du pays dans lequel le responsable de traitement de l’entreprise en cause a son principal établissement[1], ce principe étant valable aussi pour les sous-traitants. De même, si un citoyen européen veut déposer une requête contre une entreprise concernant le traitement de ses données personnelles, il aura la possibilité de déposer celle-ci devant l’autorité nationale de l’Etat dans lequel il réside mais celle-ci ne fera que transmettre cette requête à l’autorité compétente, celle du pays dans lequel le responsable de traitement de l’entreprise a son principal établissement.

Certaines entreprises ne seraient-elles pas tentées de s’installer dans un Etat membre de l’Union plutôt que dans un autre afin de profiter du manque de moyens ou de compétence de l’autorité compétente de l’Etat concerné ?

Ainsi dépeint, le règlement semble profiter aux entreprises au détriment des citoyens privés du traitement de leurs requêtes par l’autorité de l’Etat dans lequel ils résident, alors même que le règlement est destiné à protéger des personnes physiques à l’égard de tout traitement des données à caractère personnel. L’analyse des autres dispositions souligne toutefois l’apparition de nouvelles contraintes pour les entreprises.

___________

Sources :
[1] Article 51§2 du projet de Règlement : « Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l’autorité de contrôle de l’État membre où se situe l’établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres […] »

 

Pages: 1 2 3 4 5