La proposition européenne de réforme du droit des données personnelles suscite les réserves de la France

La Commission européenne a publié le 25 janvier 2012 une proposition de règlement visant à moderniser le droit applicable aux données personnelles. Ce dernier, issu de la directive 95/46/CE du 24/10/1995, a été adopté alors que l'Internet mobile et les réseaux sociaux n'existaient pas.

Même si les grands principes de la directive, transposée en France en 2004, restent pertinents et applicables, certaines adaptations sont souhaitables afin de renforcer les droits des personnes dont les données sont collectées. A l'heure actuelle, le danger ne réside plus dans la collecte de données à l'insu des personnes, mais dans l'exploitation des données qui ont été mises en ligne avec le consentement des intéressés, lesquels n'ont pas nécessairement conscience de l'ampleur de leur utilisation, voire de leur destination.
La proposition de règlement, élaborée à partir de deux consultations publiques menées en 2009 et 2011, insiste donc sur les risques induits non seulement des réseaux sociaux, mais également du développement de l'informatique dans le nuage (le "Cloud"), qui suppose un stockage des données sur des serveurs informatiques disséminés dans le monde entier, voire dans des Etats ne disposant pas d'une législation protectrice des données à caractère personnel.
Le texte propose ainsi de renforcer certains droits, comme le droit à l'information des personnes dont les données sont collectées (notamment quant à la durée de conservation, au droit d’introduire une réclamation, aux transferts internationaux et à la source des données), un nouveau droit d'accès aux informations collectées, un nouveau droit de rectification, un droit à la portabilité des données et, surtout, le fameux "droit à l'oubli", objet de nombreux débats depuis quelques mois.
Ce droit d'effacement "nouvelle génération" serait de portée générale et permettrait à quiconque d'exiger la suppression totale des données qui ont fait l'objet d'une collecte. Concrètement, cela permettrait aux utilisateurs des réseaux sociaux d'obtenir la suppression définitive et effective de leurs profils en cas de simple demande, ce qui est loin d'être le cas à l'heure actuelle.
Le texte a suscité des commentaires, en particulier de la part de la Commission des affaires européennes de l'Assemblée nationale, qui, par le biais d'une résolution, s'est félicitée de l'effort de modernisation engagé par la Commission européenne. Le rapporteur de la Commission a d'ailleurs approuvé l'idée de procéder par la voie du règlement communautaire, immédiatement applicable dans les Etats membres, en lieu et place d'une directive, qui nécessiterait une loi de transposition.

Cependant, la résolution a mis l'accent sur deux dangers principaux qui menaceraient les droits des Européens.

Le premier tient dans la proposition, formulée par la Commission européenne, de retenir le critère d'établissement pour déterminer la loi applicable dans l'hypothèse d'un traitement de données pan-européen. Selon ce critère, le traitement serait régi par la seule loi de l'Etat dans lequel le responsable de traitement est établi. Seule l'autorité compétente en matière de données personnelles de cet Etat pourrait alors être saisie par les citoyens en cas de réclamation. Ceci pourrait donner lieu à une politique du "moins disant", les responsables de traitements pouvant alors être tentés de s'établir dans des Etats où les autorités sont moins écoutées et disposent de moins de pouvoirs que la CNIL en France, par exemple.
Le second réside dans l'idée que seule la Commission européenne devrait être compétente pour élaborer des lignes directrices en matière de protection des données à caractère personnel. Ceci signifierait que les autorités nationales, comme la CNIL, se verraient amputées d'un pouvoir doctrinal et pédagogique qui, à l'heure actuelle, permet d'adapter le droit positif aux situations nouvelles par le biais de recommandations.
Pour sa part, la CNIL a salué l'opposition de la Commission des affaires européennes, ainsi que du Sénat, à l'adoption du critère de l'établissement principal et a réaffirmé la nécessité d'un niveau de protection élevé des données à caractère personnel en Europe.
Envisagée depuis longtemps maintenant, la modernisation de la directive de 1995 semble donc sur la bonne voie. Il reste encore, cependant, des points cruciaux à négocier pour que les Européens puissent en bénéficier.