La proposition européenne de réforme du droit des données personnelles suscite les réserves de la France
La Commission européenne a publié le 25 janvier 2012 une proposition de règlement visant à moderniser le droit applicable aux données personnelles. Ce dernier, issu de la directive 95/46/CE du 24/10/1995, a été adopté alors que l'Internet mobile et les réseaux sociaux n'existaient pas.
Même si les grands principes de la directive,
transposée en France en 2004, restent pertinents et applicables, certaines
adaptations sont souhaitables afin de renforcer les droits des personnes dont
les données sont collectées. A l'heure actuelle, le danger ne réside plus dans
la collecte de données à l'insu des personnes, mais dans l'exploitation des
données qui ont été mises en ligne avec le consentement des intéressés, lesquels
n'ont pas nécessairement conscience de l'ampleur de leur utilisation, voire de
leur destination.
La proposition de règlement, élaborée à partir de
deux consultations publiques menées en 2009 et 2011, insiste donc sur les
risques induits non seulement des réseaux sociaux, mais également du
développement de l'informatique dans le nuage (le "Cloud"), qui suppose
un stockage des données sur des serveurs informatiques disséminés dans le monde
entier, voire dans des Etats ne disposant pas d'une législation protectrice des
données à caractère personnel.
Le texte propose ainsi de renforcer certains
droits, comme le droit à l'information des personnes dont les données sont
collectées (notamment quant à la durée de conservation, au droit d’introduire
une réclamation, aux transferts internationaux et à la source des données), un
nouveau droit d'accès aux informations collectées, un nouveau droit de
rectification, un droit à la portabilité des données et, surtout, le fameux
"droit à l'oubli", objet de nombreux débats depuis quelques mois.
Ce droit d'effacement "nouvelle
génération" serait de portée générale et permettrait à quiconque d'exiger
la suppression totale des données qui ont fait l'objet d'une collecte.
Concrètement, cela permettrait aux utilisateurs des réseaux sociaux d'obtenir
la suppression définitive et effective de leurs profils en cas de simple
demande, ce qui est loin d'être le cas à l'heure actuelle.
Le texte a suscité des commentaires, en particulier
de la part de la Commission des affaires européennes de l'Assemblée nationale,
qui, par le biais d'une résolution, s'est félicitée de l'effort de
modernisation engagé par la Commission européenne. Le rapporteur de la
Commission a d'ailleurs approuvé l'idée de procéder par la voie du règlement
communautaire, immédiatement applicable dans les Etats membres, en lieu et
place d'une directive, qui nécessiterait une loi de transposition.
Cependant, la résolution a mis l'accent sur deux dangers principaux qui menaceraient les droits des Européens.
Le premier tient dans la proposition, formulée par la Commission européenne, de retenir le critère d'établissement pour déterminer la loi applicable dans l'hypothèse d'un traitement de données pan-européen. Selon ce critère, le traitement serait régi par la seule loi de l'Etat dans lequel le responsable de traitement est établi. Seule l'autorité compétente en matière de données personnelles de cet Etat pourrait alors être saisie par les citoyens en cas de réclamation. Ceci pourrait donner lieu à une politique du "moins disant", les responsables de traitements pouvant alors être tentés de s'établir dans des Etats où les autorités sont moins écoutées et disposent de moins de pouvoirs que la CNIL en France, par exemple.Le second réside dans l'idée que seule la Commission européenne devrait être compétente pour élaborer des lignes directrices en matière de protection des données à caractère personnel. Ceci signifierait que les autorités nationales, comme la CNIL, se verraient amputées d'un pouvoir doctrinal et pédagogique qui, à l'heure actuelle, permet d'adapter le droit positif aux situations nouvelles par le biais de recommandations.
Pour sa part, la CNIL a salué l'opposition de la Commission des affaires européennes, ainsi que du Sénat, à l'adoption du critère de l'établissement principal et a réaffirmé la nécessité d'un niveau de protection élevé des données à caractère personnel en Europe.
Envisagée depuis longtemps maintenant, la modernisation de la directive de 1995 semble donc sur la bonne voie. Il reste encore, cependant, des points cruciaux à négocier pour que les Européens puissent en bénéficier.