En vue d’adopter fin 2015 le règlement, tant attendu, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« le règlement »), la Commission de l’Union européenne (« la Commission »), le Parlement de l’Union européenne (« le Parlement ») et le Conseil de l’Union européenne (« le Conseil ») ont débuté, le 24 juin 2015, la première phase de la négociation tripartite, appelée « Trilogue ». La dernière version consolidée du texte est celle adoptée par le Parlement européen le 12 mars 2014.

La refonte du régime de protection des données à caractère personnel est devenue nécessaire au regard des évolutions technologiques récentes. En effet, les mesures actuelles ne sont plus suffisantes pour assurer une protection adaptée des données personnelles, de nombreuses avancées technologiques ayant eu lieu (telles que le développement de l’Internet ou du cloud computing) depuis l’adoption de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Aussi, le règlement à venir aura-t-il vocation à s’appliquer directement dans les Etats de l’Union européenne (UE) et à se substituer en France à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (« loi française ») ?

Nous vous présentons ci-après, quelques-uns des apports majeurs du futur texte qui sont en débat entre les trois Institutions.

1. Elargissement du champ d’application de la réglementation et nouveaux principes

1.1. Champ d’application matériel et territorial

Le règlement envisage de qualifier, de manière expresse, de données à caractère personnel certaines informations permettant d’identifier une personne physique. Il en serait ainsi des données de localisation, des identifiants en ligne ainsi que de l’adresse IP.

Les débats portent également sur la possibilité d’introduire dans la catégorie des données dites sensibles les données génétiques, les condamnations pénales, ainsi que les données biométriques, les données relatives à l’identité de genre et l’orientation sexuelle.

S’agissant du champ territorial, rappelons qu’actuellement, la loi française ne vise que les traitements de données à caractère personnel mis en œuvre sur le territoire français ou réalisés par un responsable de traitement établi en France (article 5 I). Les traitements visant des citoyens français et mis en œuvre par des responsables du traitement situés hors de l’Union Européenne échappent ainsi, de droit, au champ d’application de la loi française.

La Commission, le Parlement et le Conseil semblent s’accorder pour y remédier.

En effet, le règlement s’imposerait non seulement aux traitements mis en œuvre par un établissement du responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne mais encore aux traitements mis en œuvre par des responsables de traitement non établis au sein de l’UE, dès lors que les activités de traitement sont liées :

• à l’offre de biens ou services à des personnes résidant sur le territoire de l’UE ;
• et à l’observation du comportement de personnes résidant sur le territoire de l’UE.

Par conséquent, le règlement s’appliquerait à tous les traitements de données à caractère personnel externalisés, tels que les traitements en cloud computing ou via les sites Internet de e-commerce offrant des produits et services aux ressortissants de l’UE à partir d’un établissement étranger.

Les responsables de traitement non établis dans l’UE mais assujettis au règlement devraient désigner un représentant dans l’Union. Ce représentant serait responsable des obligations incombant au responsable de traitement et redevable des sanctions pécuniaires. Les modalités et conditions de cette responsabilité font encore débat entre les institutions.

1.2. Nouveaux principes en matière de collecte de données et de mise en œuvre des traitements

• Transparence dans la collecte et le traitement

Les institutions européennes s’accordent pour renforcer la clarté des informations délivrées aux personnes concernées sur les traitements réalisés en introduisant le principe de la transparence de la collecte de données. Celui-ci impliquerait que les responsables du traitement communiquent davantage de détails sur les traitements opérés.

• Minimisation des données

Alors que le droit français consacre déjà le principe d’adéquation et de pertinence des données collectées, la minimisation des données obligerait à ne collecter que les données nécessaires au traitement considéré. Toutefois, il est à noter que la notion de « minimisation » a été supprimée dans la proposition amendée par le Conseil, qui lui préfère celle de données « non-excessives ».

• Responsabilité conjointe

Le règlement propose d’encadrer la pratique qui consiste pour plusieurs personnes à mettre en œuvre un traitement commun de données à caractère personnel. Les responsables du traitement seraient alors conjointement responsables à la condition qu’ils déterminent ensemble les finalités et les moyens dudit traitement ainsi que leurs engagements et responsabilités respectifs aux termes d’un accord.

• Suivi interne des traitements

Ce principe se traduirait par une exigence générale d’audit interne des traitements afin de veiller à la constante conformité des opérations de traitement au règlement.

En pratique, le responsable du traitement serait soumis à plusieurs obligations, comme celles de : mettre en place des règles internes relatives aux traitements de données personnelles et à l’accès des individus aux données les concernant ; vérifier l’efficacité des mesures prises pour la sécurité des données ; en garder une trace documentaire.

S’imposerait également la réalisation d’une étude d’impact touchant les traitements qui pourraient être considérés comme présentant des risques particuliers au regard des droits et libertés des personnes concernées.

Pour parfaire ce principe, le responsable du traitement pourrait être soumis à une obligation de notification des failles de sécurité à l’autorité de contrôle compétente (en France, la CNIL). Toutes les actions de piratage informatique susceptibles de toucher des données à caractère personnel devraient alors être signalées. Toutefois cette proposition fait débat, dans la mesure où le Conseil souhaiterait réduire le périmètre de l’obligation aux seules violations susceptibles de présenter un risque élevé pour les droits et libertés des personnes concernées.

Le Trilogue porte, en outre, sur le délai imparti au responsable du traitement pour notifier de telles failles : alors que la Commission prévoit un délai de 24 heures, le Conseil propose un délai de 72 heures tandis que le Parlement rejette tout délai de principe.

• Désignation d’un Correspondant Informatique et Libertés (CIL)

La désignation d’un Délégué à la Protection des Données (« DPD ») serait nécessaire dans l’hypothèse d’un traitement de données par un organisme public ou lorsqu’une entreprise du secteur public effectue des traitements exigeant un suivi régulier et systématique des personnes concernées, ou encore pour les traitements de données sensibles ou à risque. Cet apport modifierait le droit français qui n’impose pas la désignation d’un correspondant informatique et libertés.

2. Nouveau cadre pour le contrôle des données à caractère personnel

2.1. Allègement des formalités

• Suppression des déclarations préalables

Le règlement prévoit la suppression des déclarations préalables à la mise en œuvre des traitements, ce qui en France dispenserait le responsable du traitement de déclarer auprès de la CNIL le traitement envisagé, avant sa mise en œuvre. Néanmoins, perdurerait un régime restreint d’autorisation et de consultation préalables.

Certains transferts de données personnelles en dehors de l’UE demeureraient soumis à une autorisation préalable. Il s’agit des transferts vers des Etats ne présentant pas un niveau de protection adéquat, en l’absence d’adoption par le responsable du traitement de Binding Corporate Rules (« BCR ») ou de conclusion de clauses types adoptées par la Commission ou par une autorité de contrôle nationale.

Par conséquent, la CNIL n’aurait plus à autoriser les transferts de données à caractère personnel en dehors de l’UE, réalisés au moyen de clauses types ou de BCR.

En ce qui concerne la consultation préalable, tous les traitements nécessitant une étude d’impact ou identifiés comme contenant des risques particuliers au regard des droits et libertés des personnes concernées seraient soumis à une consultation préalable. Le Conseil et le Parlement ayant amendé, dans leurs versions révisées respectives, les critères et les modalités de ces formalités, ces points seront débattus au cours du Trilogue.

• Institution d’un guichet unique

Actuellement, un responsable du traitement exerçant une activité sur plusieurs territoires de l’UE doit se conformer aux obligations applicables au sein de chaque Etat concerné.

Avec l’adoption du règlement, le responsable du traitement pourrait éviter la multiplication des procédures auprès des autorités nationales et centraliser l’ensemble de ses démarches auprès d’une autorité unique.

La Commission propose qu’un responsable du traitement établi dans plusieurs Etats membres soit soumis à l’autorité de contrôle compétente sur le lieu de son établissement principal, pour l’intégralité des traitements qu’il mettra en œuvre.

Ce mécanisme de guichet unique est critiqué en raison de l’éloignement qu’il induit entre les citoyens européens potentiellement impactés et l’autorité de contrôle compétente pour intervenir. Cela pourrait contraindre la personne physique lésée à soumettre ses demandes à une autorité étrangère.

Le Conseil souhaite quant à lui intégrer la possibilité pour les citoyens d’exercer un recours devant l’autorité du lieu de leur résidence. Cette disposition reste donc en discussion.

2.2. Remaniement des pouvoirs des autorités nationales

• Pouvoirs d’investigation

En France, la CNIL peut procéder à des contrôles sur place auprès des responsables du traitement sans restriction dans le choix des entités contrôlées (article 44 de la loi française).

La Commission propose de restreindre de tels contrôles aux cas dans lesquels il existe un motif raisonnable de soupçonner une infraction. Certaines autorités, comme la CNIL, critiquent cette proposition qui réduit leur pouvoir d’enquête et les prive d’un moyen de faire respecter le règlement, alors que les déclarations préalables seraient supprimées.

Ce point sera discuté lors du Trilogue, le Parlement et le Conseil n’ayant pas accueilli favorablement la réduction du pouvoir d’investigation des autorités nationales.

En parallèle, le règlement accroît les pouvoirs des autorités de contrôle en leur octroyant le droit d’ester en justice.

• Pouvoirs de sanction

Actuellement, le montant maximal de l’amende encourue pour non-respect de la loi française est de 300.000 € ou de 5% du chiffre d’affaires annuel. Les sanctions pécuniaires applicables par les autorités nationales devraient être revues, sans que l’on sache actuellement dans quelle mesure, puisque:

• la Commission propose une sanction de 1.000.000 € ou de 2% du chiffre d’affaires annuel mondial du contrevenant ;
• le Parlement propose quant à lui un maximum de 5% du chiffre d’affaires annuel mondial ou de 100.000.000 € ;
• le Conseil souhaite un montant maximal de 500.000 € ou de 1% du chiffre d’affaires annuel mondial, pour certaines infractions.

Si certains principes semblent désormais bien arrêtés entre les institutions pour constituer les fondements de cette réforme, d’autres doivent encore faire l’objet d’arbitrages dans le cadre du Trilogue.

Prudence Cadio, avocat en droit de la Propriété Intellectuelle et des Nouvelles Technologies.