Gérald Sadde, Avocat associé chez Roche Avocats, et Nathan Soulie, Juriste, nous proposent ici une mise à jour quant aux règles relatives aux données personnelles.
Au sein de l’Union Européenne, le cadre juridique relatif au traitement des données à caractère personnel date de 1995. Cet environnement juridique n’est plus adapté aux évolutions technologiques et aux nouvelles pratiques du web qui sont depuis apparues. Pour prendre en considération ce nouveau contexte, la vice-présidente de la Commission européenne Mme Viviane Reding a présenté le 25 janvier 2012 une proposition de règlement relatif aux données personnelles qui résulte de nombreux travaux et remontées d’informations des Etats-membres et des Instances Européennes.
Actuellement, cette proposition est débattue au sein du Parlement européen et vient de faire l’objet d’un pré-rapport rendu le 8 janvier 2013 par M. Albrecht, rapporteur à la Commission Libertés civiles, justice et affaires intérieures du Parlement européen.
Le recours à un règlement n’est pas anodin. A l’inverse d’une directive qui permet des transpositions nationales inégales, le règlement européen est d’effet direct dans l’ordre juridique des Etats membres. Ainsi, une fois le texte adopté, il permettra une parfaite harmonisation du régime au sein du territoire de l’UE.
Cette réforme a pour objectif avoué de faciliter l’action des entreprises et de leur permettre de réaliser des économies grâce à une simplification et une uniformisation de la mise en conformité à la loi. A ce titre, la fin des déclarations préalables à la mise en place d’un traitement permettrait une économie espérée de 2,3 milliards d’euros annuellement au sein de l’UE. Cette obligation de notification serait remplacée par le concept d’ "accountability" qui se traduit par une obligation de documentation. En d’autres termes, le responsable du traitement devrait recenser les traitements mis en œuvre mais il devrait aussi entretenir la preuve du respect des dispositions du règlement. De plus, le responsable devrait mettre en place des audits de conformité ou encore pratiquer des études d’impact (pricacy impact assessment) avant la mise en place de traitements comportant un risque particulier. Enfin, en cas d’atteinte aux données à caractère personnelles, le responsable de traitement devrait notifier obligatoirement la faille de sécurité à l’autorité de contrôle dont il dépend.
De plus, la philosophie du "privacy by design" est imposée au responsable de traitements. Elle consiste à inclure la contrainte de la sécurité très tôt dans le processus de conception d’un traitement. Ce dernier, devra prendre en considération la question de la protection des données.
En parallèle des dispositions concernant les obligations incombant au responsable de traitement, se dresse un pan propre aux droits des personnes privées, qui vise directement les éditeurs de réseaux sociaux en ligne. En ce sens, le droit à l’oubli est expressément affirmé obligeant le responsable de traitement à procéder à l’effacement des données sur demande de la personne concernée et à informer tout tiers de l’existence de cette demande. Ce dernier, aurait alors pour obligation d’effacer tout lien vers ces données. Si à première lecture cette disposition semble bénéfique aux droits des citoyens, se pose le problème de l’effectivité d’une telle obligation qui existe déjà dans la loi française. Il conviendrait sans doute d’aller plus loin. Pour exemple, à cet instant aucune disposition spécifique n’oblige les moteurs de recherche au déférencement des données dont l’oubli est demandé. Or, les liens de référencement constituent la "porte d’accès" aux contenus litigieux. Une telle disposition serait nécessaire pour une réelle effectivité du droit à l’oubli.
Une autre disposition de la proposition de règlement fait débat. Elle concerne l’apparition d’un "guichet unique" pour les entreprises effectuant des traitements de données à caractère personnel dans différents Etats-membres. Seule l’autorité de contrôle de l’Etat-membre où se situe "l’établissement principal" de l’entreprise est compétente pour connaître des traitements de l’entreprise à travers l’ensemble des Etats-membres. Cette disposition pourrait avoir de néfastes conséquences vis-à-vis de l’accès à l’autorité de contrôle par la personne privée. A ce titre, le pré-rapport de M. Albrecht, rendu le 8 janvier dernier apporte un correctif salutaire en proposant de retenir aussi le lieu de résidence, rendant aussi compétente l’autorité de contrôle de l’Etat-membre dans lequel le citoyen vit. Reste au Parlement européen à reprendre les travaux de M. Albrecht dans son texte final.
Mise à part la nécessité d’adapter le droit aux évolutions technologiques, cette proposition de règlement comporte aussi une volonté politique non négligeable. Lors de la présentation du règlement, Mme Reding a mis en avant la possibilité pour les autorités de contrôle d’infliger une amende pouvant s'élever à 1.000.000 d’euros ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial pour les violations les plus graves. A titre de comparaison, la CNIL ne peut prononcer qu’une peine d’amende maximum de 300.000 euros.
Un tel montant témoigne de la volonté de contraindre les géants du web, Google en tête, à respecter la protection des données personnelles sur le territoire de l’UE. Il convient ainsi de rappeler que Google fait actuellement l’objet d’investigations poussées de la part des membres du G29 pour le non-respect de l’actuelle directive 95/46/CE en ce qui concerne les règles de confidentialité. Cette action coordonnée du G29 s’inscrit dans l’esprit de la proposition de règlement, notamment, pour l’uniformisation des moyens de sanction.
Le calendrier annoncé mentionne une adoption du texte début 2014 pour une mise en place effective en 2016. Cependant, au regard des enjeux juridiques mais aussi économiques et politiques de la protection des données à caractère personnel, la date d’adoption définitive du règlement est tout sauf certaine. D’ici là, il appartient aux responsables de traitements de se préparer à une refonte totale de la gestion des données à caractère personnel au sein des entreprises.
Gérald Sadde, Avocat associé chez Roche Avocats (www.roche-avocats.com)
Nathan Soulie, Juriste
