Close
  • Français
  • English

03/06/2013Le futur règlement européen sur la protection des données à caractère personnel – Quels obstacles à sa mise en œuvre effective ? [Par Hugo Lemarchand, CEIS]

Les nouveaux droits offerts au citoyen européen : une portée suffisante ?

Le projet de règlement consacre deux nouveaux droits pour les citoyens européens : le droit à l’oubli (ou à être oublié), qui permet à toute personne d’obtenir de l’entreprise l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données[1], et le droit de transfèrement (ou la portabilité des données), qui octroie aux utilisateurs la possibilité de transférer leurs données personnelles d’une entreprise à une autre[2]. Le droit à la portabilité des données apparait donc comme un complément du droit à l’oubli en permettant aux citoyens de récupérer les données les concernant, évitant ainsi d’être dépendant d’une entité en particulier[3]. Plusieurs interrogations se posent cependant, tant sur le fond que sur la forme.

Les remarques portent principalement sur le droit à l’oubli. Il est surprenant qu’une meilleure information des internautes ne soit pas envisagée (exemple : la présentation de manière explicite des obligations pesant sur les moteurs de recherche afin de prévoir l’effacement automatique au bout d’un délai maximal des données personnelles indexées ou qui porteraient préjudice à quelqu’un[4]). Pour donner une réelle portée au droit à l’oubli, peut-être faudrait-il en effet l’accompagner d’un droit à la désindexation au déréférencement afin que lesdonnées personnelles d’un citoyen n’apparaissent plus dans les résultats des moteurs de recherche lorsque ce droit à l’effacement lui aura été reconnu[5]. Certains opérateurs ont déjà anticipé ce nouveau droit, à l’image de Google qui a lancé à la mi-avril un « gestionnaire de compte inactif », qui permettra aux utilisateurs de « planifier leur vie numérique après la mort » en leur proposant de définir un délai d’expiration de leur compte[6].

Sur le plan technique, le droit à l’oubli pourra-t-il réellement être mis en œuvre ? Si l’effacement de données par le responsable du traitement des données à la demande de la personne concernée ne semble pas poser de problèmes, il n’en va pas de même pour les tiers qui utiliseraient ces mêmes données. En effet, le règlement prévoit l’obligation pour le responsable du traitement des données si ce dernier les a rendu publiques, d’informer les tiers qui les ont réutilisées de la demande d’effacement de la personne concernée. Sauf dans le cas où le responsable du traitement des données aurait explicitement autorisé un tiers à publier ces données, celui-ci ne se voit imposer qu’une obligation de moyens et non de résultats. Le droit à l’oubli semble donc techniquement difficile à mettre en œuvre si les données concernées sont passées entre les mains de plusieurs acteurs.

D’un point de vue plus philosophique enfin, le droit à l’oubli ne pose-t-il pas le risque d’aboutir à une amnésie collective ? En pratique, le projet de règlement impose en effet aux entreprises de détruire ou de rendre anonyme les données collectées une fois le traitement pour lequel elles auront été collectées achevé, dans le but de garantir aux citoyens européens le respect de leur vie privée[7]. On peut ainsi imaginer qu’un étudiant ayant terminé ses études verra ses données supprimées rapidement par son université. Mais qu’adviendra-t-il dans le cas où il devra prouver qu’il est diplômé ? Si la réu­ti­li­sa­tion des données per­son­nel­les à l’insu des intéressés doit être évitée, la destruction sys­té­ma­ti­que de celles-ci n’apparait pas être la solution la plus aboutie. Un juste milieu pourrait être trouvé.

[box style=’doc’]

Conclusion

Bien que coûteuse, cette réglementation aura pour effet d’obliger les entreprises à mieux se préparer aux cyberattaques, ce qui permettra à ces dernières de se prémunir contre de lourdes pertes financières, plus importantes encore que les investissements nécessaires et agira ainsi comme un levier sur le niveau de cybersécurité européen.

Pour autant, les contraintes imposées par ce projet et le montant des amendes pourraient provoquer une hésitation chez les entreprises à s’installer au sein de l’Union par crainte de sanctions importantes. Rappelons cependant que le droit européen de la concurrence inflige des amendes bien plus élevées[8] et n’a pas eu d’effet négatif sur les activités des entreprises au sein de l’Union, ce qui peut laisser supposer qu’il en sera de même pour ce règlement.

[/box]

___________
Sources :
[1] Article 17 du projet de Règlement.
[2] Article 18 du projet de Règlement.
[3] CNIL, Rapport d’activité 2012
[4] Sénat, Résolution européenne sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, n°110, 6 mars 2012
[5] France Info, Droit d’oubli sur internet, Le droit d’info, 12 avril 2012
[6] http://frenchweb.fr/le-gestionnaire-de-compte-inactif-ou-le-nouveau-service-mortel-de-google/110632
[7] http://www.archivistes.org/Au-nom-du-droit-a-l-oubli-quel
[8] Jusqu’à 10% du chiffre d’affaires mondial des entreprises condamnées

Pages: 1 2 3 4 5