Close
  • Français
  • English

04/01/2013Retour sur le projet de règlement européen en matière de protection des données à caractère personnel – vers une « souveraineté des données » à l’européenne ? [Par Barbara Louis-Sidney, CEIS]

En présentant son projet de règlement relatif à l’encadrement et à la protection des données à caractère personnel, la Commission européenne est venue réaffirmer une tendance déjà bien enclenchée : l’Europe veut protéger les données de ses citoyens. Présenté le 25 janvier dernier, le texte vise à refondre et améliorer le cadre juridique posé par la directive datant de 1995 et jugée aujourd’hui dépassée. Derrière ce projet, transparait la volonté d’affirmer une véritable « souveraineté des données » à l’européenne.

L’harmonisation des législations nationales grâce à un texte plus efficace

En proposant un règlement, et non une directive, l’Europe souhaite harmoniser la protection des données personnelles au sein des pays membres de l’Union. L’objectif est d’éviter les distinctions entre Etats et d’en finir avec la « fragmentation juridique actuelle » [1]. Ce statut de règlement n’est toutefois pas encore acquis. Face aux 6 Etats membres soutenant le principe (Allemagne, Bulgarie, Espagne, France, Luxembourg, Pays-Bas), cinq autres (Belgique, Danemark, Hongrie, Slovénie, Suède) demandent à la Commission européenne de transformer son projet en projet de directive, afin de bénéficier de plus de marge de manœuvre dans sa transposition au sein de leur droit national. Le Royaume-Uni a quant à lui récemment fait part de son opposition au projet[2].

Le texte actuel souffre de nombreuses critiques, la plus redondante étant l’absence de sanction et d’effectivité[3].  Selon Viviane Reding, vice-présidente de la Commission européenne en charge de la justice, des droits fondamentaux et de la citoyenneté, « les autorités nationales indépendantes chargées de la protection des données seront renforcées […]Elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise »[4]

De nouvelles contraintes pèseront sur les entreprises

Le projet prévoit de simplifier les choses en mettant fin à l’obligation de déclaration des traitements de données à caractère personnel. L’Europe avance que ces dernières réaliseront, une fois le règlement adopté, près de 2,3 milliards d’euros d’économies par an.[5] Mais, en contrepartie, les entreprises seront soumises à de nouvelles obligations.

[list style=’arrow’]
[list_item] Obligation de documentation (qui se traduira par la conservation de traces de tous les traitements de données à caractère personnel et par des études d’impact) ; [/list_item]
[/list]
[list style=’arrow’]
[list_item] Obligation de notification (s’étend à toutes les entreprises et fait peser sur elles un processus lourd de notification : elle devra être faite dans les 24h à la CNIL et au titulaire des données, sous peine de justification du dépassement de délai) ; [/list_item]
[/list]

[list style=’arrow’]
[list_item] La Commission européenne se réserve la possibilité d’imposer des mesures de sécurité ; [/list_item]
[/list]

[list style=’arrow’]
[list_item] Le texte renforce le droit à l’oubli numérique (et permet ainsi à tout individu d’obtenir la « suppression de données le concernant si aucun motif légitime ne justifie leur conservation »[6]) ; [/list_item]
[/list]

[list style=’arrow’]
[list_item] Le texte reconnaît la notion de « co-responsables de traitement » (Il sera donc extrêmement important de définir au préalable, dans un contrat, les obligations mutuelles des parties). [/list_item]
[/list]

Un texte déjà critiqué

Certains fustigent l’idée d’une obligation de notification imposée à tous, en 24h, pour n’importe quelle atteinte aux données personnelles. D’autres qualifient certaines des dispositions du projet présenté par la Commission européenne d’inapplicables. Force est de constater que l’effectivité du droit européen à l’encontre des opérateurs étrangers est encore très incertaine. Certains d’entre eux ne s’estiment pas contraints de respecter la réglementation française et européenne en matière de protection des données personnelles. C’est là l’un des points essentiels du projet de règlement européen qui souhaite contraindre ces opérateurs à appliquer les textes européens dès lors qu’ils ciblent des clients établis en Europe. La question essentielle réside dans l’effectivité de cette mesure : comment les CNILs européennes vérifieront-elles la bonne application de leurs textes ? Et comment appliqueront-elles les sanctions qui seront désormais à leur disposition ?[7]

La volonté d’affirmer une « souveraineté des données » à l’européenne ?

Le champ d’application prévu par le texte est extrêmement large : toutes les données des citoyens européens, y compris stockées à l’étranger, seraient concernées par le règlement. Ce projet vise ainsi à assurer une véritable« souveraineté des données » à l’européenne et s’inscrit dans le droit fil de la dynamique enclenchée par le lancement de projets de clouds nationaux et européens. L’objectif pour l’Europe serait-il reprendre la main sur les données des citoyens de ses membres, face à des opérateurs internationaux gourmands en données (moteurs de recherche, services de cloud…) et des législations au champ d’application extrêmement large (Patriot Act, par exemple) ? Alors que certains tentent de recréer techniquement des frontières en se dotant de pare-feu ou d’internets/intranets nationaux, apparaissent des ilots législatifs en matière de protection et de circulation des données.

_________
Sources :
[1] http://europa.eu/rapid/press-release_IP-12-46_fr.htm?locale=fr ; Bruxelles, le 25 janvier 2012 ; Commission européenne – Communiqué de presse
[2] http://amberhawk.typepad.com/amberhawk/2012/11/uk-government-opposed-to-the-commissions-data-protection-regulation.html
[3] « L’Europe des données est un eldorado » Tribune d’Isabelle Falque-Pierrotin, Présidente de la CNIL, publiée dans les Echos le 25 septembre 2012 – http://www.cnil.fr/la-cnil/actualite/article/article/la-protection-des-donnees-personnelles-un-atout-pour-la-france-et-leurope/
[4] http://europa.eu/rapid/press-release_IP-12-46_fr.htm?locale=fr ; Bruxelles, le 25 janvier 2012 ; Commission européenne – Communiqué de presse
[5] http://europa.eu/rapid/press-release_IP-12-46_fr.htm?locale=fr ; Bruxelles, le 25 janvier 2012 ; Commission européenne – Communiqué de presse
[6] http://europa.eu/rapid/press-release_IP-12-46_fr.htm?locale=fr ; Bruxelles, le 25 janvier 2012 ; Commission européenne – Communiqué de presse
[7] http://www.lepoint.fr/chroniqueurs-du-point/laurence-neuer/comment-nos-donnees-personnelles-seront-elles-protegees-demain-10-10-2012-1515441_56.php