Les données personnelles au coeur de la construction européenne

La Commission européenne a présenté, le 25 janvier dernier, un projet de règlement dans le domaine de la protection des données personnelles qui a vocation à se substituer à la directive n^o 95/46/CE du 24 octobre 1995, cadre européen actuel de la protection des données à caractère personnel. Ainsi, une seule norme européenne s’appliquerait désormais à tous les Etats membres de l’Union européenne. Cela éviterait notamment aux entreprises d’avoir à prendre en compte 27 législations différentes et participerait d’une plus grande sécurité juridique pour ces dernières. Toutefois, dès sa publication, ce projet a fait couler beaucoup d’encre. En effet, sa mesure la plus controversée serait de soumettre exclusivement les responsables de traitement à l’autorité de protection située dans l’Etat où ils ont leur « établissement principal ». On parle ainsi de « guichet unique ». La Cnil et le Parlement s’opposent fermement à ce système, compte tenu du fait que les principaux acteurs ont rarement leur établissement principal en France ou en Europe. En d’autres termes, ces derniers échapperaient aux procédures et aux éventuelles poursuites initiées sur le territoire de l’Union européenne.

Dans trois le CIL sera obligatoire

Il est également nécessaire de retenir l’extension du champ du règlement à tout traitement visant un citoyen de l’Union européenne, que le responsable du traitement ou le traitement soit ou non établi sur le territoire européen. Ainsi, la notion de frontières géographiques est abolie dès lors qu’il s’agit de flux de données.

En outre, le projet intègre explicitement l’adresse IP, les coordonnées GPS, l’adresse MAC d’un équipement, etc. La notion de consentement est également précisée comme étant l’indication d’une volonté spécifique, éclairée, explicite et donnée librement. Ce consentement ne pourra pas être valable, à titre d’illustration, lorsqu’il est donné dans le cadre d’une relation déséquilibrée de subordination ou de dépendance économique entre la personne concernée et le responsable de traitement.

De plus, le Correspondant informatique et libertés devient obligatoire dans trois cas : pour les autorités ou organismes publics; pour les entreprises employant 250 personnes ou plus; et pour tout organisme dont les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Le projet de règlement renforce également deux droits. D’une part, le droit de voir ses données supprimées, c’est-à-dire le droit à l’oubli. Ce droit est d’une importante cruciale dans le cadre de la communication, de la divulgation des données sur les réseaux sociaux.

D’autre part, notons l’instauration d’un droit à la « portabilité » des données. Désormais, chacun peut exiger que ses données soient détenues dans un format lui permettant de les transférer vers un autre fournisseur de service.

A noter que ce projet de règlement ne deviendra définitif que s’il est voté par le Parlement européen et le Conseil. Rappelons que, dès son adoption, le règlement s’appliquera directement dans le droit national, notamment pour ce qui est des sanctions pécuniaires qui sont extrêmement dissuasives (notamment un pourcentage du chiffre d’affaires annuel mondial).