Si la proposition de Règlement européen présentée par la Commission européenne il y a tout juste un an, le 25 janvier 2012, comporte de nombreuses avancées s’agissant notamment de la promotion du droit à l’oubli numérique, de la consécration du principe du consentement exprès à l’utilisation des données personnelles, ou encore de l’obligation de portabilité des données personnelles, elle a également fait l’objet de nombreuses réserves de la part des autorités de protection des données européennes.
En France, la Cnil qui s’inquiète en particulier du risque d’éloignement entre les citoyens européens et leurs autorités nationales a émis de sévères critiques à l’encontre de la proposition de règlement qui proposait notamment que l’autorité compétente soit celle où se situe l’établissement principal d’une entreprise, quel que soit le public ciblé par son activité. Elle s’oppose au critère ainsi retenu par le texte initial en vertu de duquel, l’internaute perdrait la possibilité de soumettre le litige qui l’oppose à une entreprise à son autorité de contrôle nationale (la Cnil dans le cas de la France), dans le cas où l’établissement principal de cette entreprise serait situé dans un autre pays, ce qui le priverait de la protection offerte par son autorité nationale.
Prenant en compte les différentes recommandations émises par les autorités nationales, le rapporteur de la LIBE a formulé des propositions d’amélioration du texte initial sur plusieurs points clés et notamment :
le critère de compétence des autorités de contrôle : le projet de rapport propose que ce critère soit fondé aussi sur le lieu de résidence du citoyen afin d’éviter une distance excessive entre le citoyen concerné et l’autorité compétente. Le choix de ce critère garantit également une meilleure protection des droits de la personne et réduit pour les entreprises les risques d’insécurité juridique et de " forum-shopping" ;
un « guichet unique » : le rapporteur propose de désigner comme point de contact unique pour les responsables de traitement et sous-traitants ayant des activités dans plusieurs Etats Membres, une autorité chef de file, qui ne dispose pas de compétences exclusives, mais dont le rôle est d’instruire ces situations transfrontalières au nom et pour le compte des autorités compétentes et d’assurer leur coordination avant de prendre toute décision. Ce moyen vise à simplifier les demandes des entreprises pour l’ensemble de l’Union européenne, en centralisant démarches dans un seul pays ;
le rôle du Comité européen de protection des données : en proposant un nouveau mécanisme de cohérence et en renforçant considérablement le rôle et les pouvoirs du Comité européen de la protection des données, notamment en lui conférant un pouvoir décisionnel sur les projets de décisions d’une autorité de contrôle, le pré-rapport permet les conditions d’une uniformisation de l’application des dispositions européennes.
Outre ces principales propositions, le projet de rapport propose également des modifications visant à renforcer la protection et la sauvegarde des droits fondamentaux des citoyens et notamment :
le recours à la "pseudonymisation" et à l’anonymisation de données ;
l’exercice gratuit du droit d’opposition, lequel doit être proposé en termes clairs et simples par les responsables de traitement ;
une information présentée de façon simple et compréhensible, notamment au moyen de logos et d’icônes normalisées ;
la définition et la réglementation des activités de profilage ;
la définition de certains termes constituant la base juridique d’un traitement, notamment la notion d’intérêt légitime du responsable du traitement ;
le principe « clé » de limitation de la finalité.
Enfin, il convient de noter que s’agissant de l’obligation de désigner un correspondant Informatique et libertés, le rapporteur propose de ne pas recourir au critère de « seuil » à partir duquel il est obligatoire de désigner un délégué à la protection des données mais plutôt à celui d’importance du traitement des données (catégorie de données à caractère personnel, type de traitement et nombre de personnes dont les données sont traitées). Il précise également que la fonction de délégué à la protection des données peut être exercée à temps partiel, en fonction de la taille de l’entreprise et de l’importance du traitement des données.
En France, le projet de rapport de la LIBE a été favorablement accueilli par la Cnil, qui salue les propositions du rapporteur qui semblent répondre « en grande partie à ses préoccupations sur le projet de règlement européen de protection des données personnelles »
Ce projet de rapport, qui doit d’abord être publié dans sa version définitive ouvre un nouveau débat au sein de la Commission. A l’instar de la LIBE, d’autres commissions désignées par le Parlement Européen devront encore apporter leurs observations sur cette proposition de Règlement européen.
