A l’aune de la future loi sur le Numérique et au regard du projet de Règlement européen sur la protection des données, la CNIL a présenté le 13 janvier dernier ses propositions sur l’évolution de la loi Informatique et libertés.

La présidente de la CNIL érigeait déjà en juin 2012 la protection des données personnelles en droit fondamental nécessitant une protection accrue. Les faits lui donnent raison. La dissémination de leurs données personnelles par les utilisateurs, l’apparition de nouveaux acteurs catalysant ces données et apparaissant comme de véritables responsables de traitement (voir en ce sens l’arrêt Google Spain rendu par la Cour de justice de l’UE le 13 mai 2014) ainsi que les nouveaux usages existants ou en développement comme le cloud computing et le big data appellent à une adaptation des instruments de protection des données.

Considérant ces enjeux, les propositions de la CNIL permettent aux responsables de services d’information de cerner les contours de la future loi Informatique et libertés. Les évolutions se déclinent autour de deux thèmes majeurs :

1. Adaptation de la législation

S’appuyant sur les avancées européennes et notamment l’octroi d’un droit à l’oubli et d’un droit à la portabilité des données, la CNIL souhaite renforcer l’effectivité des droits des personnes. Est ainsi proposé un accès facilité aux données ainsi qu’une possibilité d’exercer les droits d’opposition, d’accès et de rectification par voie électronique.

Dans cette mouvance,  le droit à l’oubli est également au cœur des débats notamment suite à l’arrêt de la Cour de Justice de l’Union Européenne du 13 mai 2014 dit «  Google Spain » aux termes duquel il avait été enjoint à Google de mettre à disposition un formulaire de déréférencement.     A ce titre, les équilibres sont précaires. Le Tribunal de Grande Instance de Paris ayant fait primé quant à lui le droit à l’information sur le droit d’opposition dans un jugement 23 mars 2015.

Il est également question de faciliter le régime de la preuve en rendant obligatoire la transmission d’un document attestant des démarches accomplies par le responsable de traitement. Cela permettrait de contester efficacement le non-accomplissement des démarches sollicitées en justifiant qu’une demande avait bien été effectuée.

Les personnes mineures, qui essaiment de nombreuses données personnelles sur Internet notamment par le biais des réseaux sociaux, auraient quant à elles la possibilité d’en demander l’effacement à leur majorité sans avoir à invoquer de motif légitime comme actuellement requis.

La CNIL souhaite de surcroit consacrer l’existence juridique des Binding Corporate Rules dans la loi avec à la clef la délivrance d’une autorisation unique pour les transferts internationaux de données intervenant dans leur cadre. Cette mesure simplifierait les formalités à accomplir par les entreprises.

Le Parlement européen souhaite quant à lui aller plus loin. Le projet de règlement énonce ainsi que seuls les traitements présentant des risques particuliers (fondés sur la conduite d’une analyse d’impact) seraient soumis à une obligation de consultation préalable du CIL ou de l’autorité compétente (articles 32 à 34).

2. Renforcement des sanctions

Selon les mots de sa présidente en janvier, « la CNIL se retrouve au centre du numérique » et Souhaite donc acquérir des pouvoir coercitifs significatifs  ou à tout le moins adaptés à ses prérogatives. Ceci passerait  par de meilleurs instruments de saisine ainsi que par la mise en place de sanctions plus importantes.

La CNIL souhaite pouvoir ordonner la suspension d’un traitement illégal, soit d’elle même, soit par saisine du juge des référés. Cette suspension serait effective jusqu’à ce qu’une décision de la formation restreinte, seule habilitée à sanctionner, soit prise.

La CNIL souhaite également élargir le champ de sa saisine du juge des référés et lui permettre de prendre toutes mesures nécessaires s’agissant des données, supprimant ainsi la limitation aux mesures « de sécurité » actuellement en vigueur.

La CNIL souhaite par ailleurs augmenter le plafond des sanctions pécuniaires. Aujourd’hui fixé à 150 000 €, il semble inadapté aux capacités financières des géants de l’information et en tout état de cause peu dissuasif. A noter que le Parlement européen a opté pour un plafond de 100 millions d’euros ou 5% du chiffre d’affaires annuel mondial de l’entreprise.

La CNIL propose en outre de mettre en œuvre un régime de coresponsabilité entre le responsable de traitement et le sous-traitant afin de répondre aux problématiques des traitements « en chaîne » dans lesquels les liens sont difficilement identifiables.

Enfin, la CNIL souhaite instaurer une action collective sur le modèle de celle créée par la loi Hamon en droit de la consommation. La CNIL souhaite ainsi anticiper une augmentation du contentieux du fait que les atteintes aux données personnelles sont en général minimes mais concernent un grand nombre de personnes.

La CNIL souhaite ainsi jouer un rôle plus moteur en renforcement l’arsenal juridique à sa disposition. Elle rappelle cependant à juste titre que ses réflexions s’inscrivent dans le cadre plus général de celles relatives au projet de règlement européen sur les données personnelles et qu’en tout état de cause les modifications éventuelles de la loi Informatique et Libertés, qu’elles aillent ou non dans le sens proposé, devront être compatibles avec les règlement à venir.