Olivier Iteanu – Avocat à la Cour, chargé d’enseignement à l’Université Paris I – Sorbonne

Un projet de règlement prévoit de réformer la directive n° 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

« Il y a dix-sept ans*, moins de 1 % des Européens utilisaient Internet. A l’heure actuelle, de grandes quantités de données à caractère personnel sont transférées et échangées d’un continent à l’autre et dans le monde entier, et en quelques fractions de seconde… ».  C’est en ces termes que Viviane Reding, vice-présidente de la Commission européenne, a justifié le nouveau règlement européen sur la protection des données à caractère personnel. Ce projet a été rendu public le 25 janvier 2012 et transmis au Parlement européen. Cependant, la procédure en cours devrait aboutir en 2014 au plus tôt. Pour mémoire, le recours à un règlement plutôt qu’à une directive, signifie que le texte sera directement applicable dans chaque Etat de l’Union, sans passer par les parlements nationaux.

Il est intéressant, dès à présent, de percevoir les pistes sur lesquelles la Commission entend nous mener pour comprendre le sens de l’histoire. Et ce sens va indéniablement vers plus de protection des données à caractère personnel, donc plus de contraintes pour les acteurs, notamment les entreprises. Les faits saillants de ce projet de règlement sont les suivants. Rendre obligatoire la désignation d’un correspondant informatique et libertés (CIL) dans les entreprises de plus de 250 salariés. Ce CIL est le commissaire aux comptes des données à caractère personnel dans l’entreprise. Sa généralisation et sa désignation obligatoire ont déjà été évoquées, en France notamment, mais ont toujours buté sur le fait que cette contrainte supplémentaire, qui engendre aussi des coûts supplémentaires pour l’entreprise, allait un peu plus surcharger la barque des entreprises européennes face à leurs concurrents américains et asiatiques. Il est évident que les mêmes objections risquent de venir dans le débat.

La deuxième règle nouvelle est la promulgation d’un droit à l’oubli général au bénéfice des personnes. Il s’agira de donner à toute personne le droit d’obtenir la suppression de toutes mentions l’identifiant, notamment sur les moteurs de recherche, au-delà d’un délai qui n’est pas fixé dans le projet. Le projet de règlement prévoit deux exceptions au droit à l’oubli : l’exercice du droit à la liberté d’expression et des motifs d’intérêt général dans le domaine de la santé publique. Là encore, quelle sera la portée d’un tel droit, si les acteurs concernés, moteurs de recherche en tête, sont justiciables d’une loi non européenne ?

Enfin, troisième fait saillant, le projet de règlement pose deux nouveaux principes, la minimisation des données et l’accountability. En bref, ces deux nouveaux principes signifient qu’il pourra être demandé au responsable de justifier de la conformité de ses traitements par rapport à la loi, y compris par les mécanismes internes mis en œuvre. Pendant longtemps, la loi s’est suffi de formalités  déclarations, autorisations de la Cnil) pour décider qui est dans (ou hors) la loi. On va désormais chercher à comprendre le pourquoi des choses. Une petite révolution de principes. Oui, à ceux qui en doutaient encore, la protection du « pétrole de la société de l’information » – les données – est bien désormais un sujet majeur.

* Date de la dernière directive communautaire sur le sujet.

Consulter le projet : http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf

Olivier Iteanu est Avocat à la Cour, chargé d’enseignement à l’Université Paris I – Sorbonne