Nous avons évoqué dans plusieurs précédents billets le projet de règlement européen sur les données personnelles. Celui-ci a été récemment remanié par la commission compétente du Parlement européen, qui y a apporté plusieurs amendements fondamentaux.
La version adoptée par le Parlement européen renforce la protection des données personnelles des citoyens, notamment à l’égard des entreprises non européennes. Elle limite par ailleurs les pouvoirs que la Commission européenne souhaitait se voir accorder pour interpréter et préciser le Règlement, et pour imposer ses décisions aux nil nationales. Plusieurs mesures phares, comme l’instauration obligatoire d’un délégué à la protection des données et l’obligation de notification des failles de sécurité, ou comme la désignation dans le cas d’entreprises établies dans plusieurs Etats de l’Union d’une seule Cnil « chef de file », demeurent sous une forme modifiée.
Le projet de règlement européen, publié le 25 janvier 2012, avait fait couler beaucoup d’encre, car il visait à augmenter significativement le niveau de protection des données personnelles des citoyens européens. Les lobbies opposés à ce texte ont bombardé les députés européens de projets d’amendements aboutissant à vider le projet de sa substance. Plusieurs milliers d’amendements ont finalement été déposés par les élus. Finalement, le texte amendé se révèle encore plus ambitieux !
Confirmation de plusieurs mesures nouvelles
Le nouveau texte confirme plusieurs des innovations introduites dans le projet. Ainsi, il remplace les procédures actuelles à base de formalités administratives préalables auprès des Cnil, par un système d’analyse de risque à réaliser en interne, seuls les projets jugés potentiellement risqués devant être soumis aux Cnil.
La nomination d’un délégué à la protection des données personnelles demeure obligatoire pour le secteur public, ainsi que pour les entreprises traitant les données de plus de 5000 personnes par an, ou des données sensibles (religion, santé, politique, etc.), ou de la géolocalisation, ou enfin des données d’enfants ou de salariés. Le partage de responsabilité entre un donneur d’ordres et un sous-traitant doit être précisé par contrat, faute de quoi il y aura responsabilité conjointe.
La notion d’autorité « chef de file », qui était fortement critiquée par la Cnil française, est précisée : lorsqu’une entreprise est présente dans plusieurs Etats de l’Union, la Cnil du pays où se trouve l’établissement principal de cette entreprise est compétente pour traiter des questions la concernant dans toute l’Europe. Elle doit cependant consulter toutes les autres Cnil concernées et rechercher un consensus avant de décider. En principe, c’est la Cnil chef de file qui a le dernier mot, mais en cas de désaccord grave, le comité composé de toutes les Cnil européennes peut adopter, à la majorité des deux tiers, une décision différente.
Des innovations ambitieuses
La loi européenne actuelle, basée sur la directive 95/46 de 1995, ne s’applique pas aux acteurs non européens dont les serveurs ne sont pas sur le sol européen. Or, par un pur hasard, c’est la situation dans laquelle se trouvent Google, Facebook, Twitter, etc., dont les filiales françaises ne sont que des vitrines commerciales, et dont les serveurs sont aux Etats-Unis. Le nouveau projet de règlement efface cette anomalie, en rendant la loi applicable non seulement à tout acteur établi dans l’Union, mais aussi à tout acteur hors de l’UE qui proposerait des biens ou des services, payants ou gratuits, à des personnes résidant dans l’Union, ou qui profilerait ces personnes.
Le projet prévoit également d’interdire, sauf traité international, de divulguer des données personnelles de citoyens européens sur réquisition d’administrations ou de décisions de justice non européennes. La demande éventuelle doit dans chaque cas être soumise à une Cnil européenne qui seule peut l’autoriser. Cette disposition vise évidemment les réquisitions de type Patriot Act. Et au cas où une entreprise soumise à de telles réquisitions étrangères déciderait de s’y conformer au mépris de la loi européenne, les sanctions ont été alourdies.
Aujourd’hui, les sanctions pour violation de données personnelles ne sont pas harmonisées en Europe. La Cnil française ne peut pas infliger plus de 150.000 euros d’amende ; le juge français pas plus de 300.000. Le « record » français à ce jour est une amende de 100.000 euros infligée à Google par la Cnil : rien de bien dissuasif. Or le projet de règlement prévoit de fixer désormais les sanctions à 100 millions d’euros ou 5% du chiffre d’affaires mondial de l’entreprise (le plus haut des deux, précise le texte). On se rapproche ainsi des montants qui apparaissent en droit de la concurrence (des amendes de plusieurs centaines de millions d’euros y sont courantes), ce qui inciterait sans doute à la réflexion.
Un équilibre à trouver entre le Parlement, la Commission et le Conseil
Dans sa version initiale, la Commission européenne souhaitait se voir accorder de larges pouvoirs pour préciser le Règlement, imposer son interprétation des textes, et même forcer les Cnil à adopter des décisions conformes à ses vues. Les députés européens ont, par leurs amendements, drastiquement réduit le rôle de la Commission, en confiant plutôt au Comité des Cnil la plupart des prérogatives qui étaient concernées.
Pour adopter définitivement le texte, il est indispensable de trouver un accord, non seulement entre le Parlement européen et la Commission, mais également avec le Conseil européen composé des différents gouvernements. Or les chances de trouver un consensus avant les élections européennes, qui renouvelleront le Parlement au printemps prochain, sont faibles. Il serait dommage qu’un texte aussi fondamental, qui a donné lieu à tant de débats, et dont la dernière version protègerait efficacement les citoyens européens, ne soit pas adopté rapidement.
Fabrice Mattatia, expert en confiance numérique
Source