Réforme du cadre européen de la protection des données à

Cet article est paru initialement dans la Revue Lamy Droit de l’Immatériel de décembre
2013, n°99, 3303.
Pour citer cet article :« Nathalie Metallinos & Nana Botchorichvili, Réforme du cadre
européen de la protection des données à caractère personnel : où en est-on ?, RLDI, 201399, 3303. »
Réforme du cadre européen de la protection des données à caractère
personnel : où en est-on ?
Nathalie Metallinos avocate, Bird & Bird, responsable de l’atelier « protection
des données personnelles » de l’ADIJ
Et
Nana Botchorichvili, avocate, Bird & Bird.
Avec l’adoption par la Commission des libertés civiles, de la justice et des affaires intérieures
(LIBE) d’un texte de compromis le 21 octobre 20131 (ci-après « le Texte de compromis»)
portant sur la proposition de règlement publiée par la Commission le 25 janvier 2012 (ciaprès « la Proposition de règlement») fixant le futur cadre général européenne matière de
protection des données à caractère personnel2 et remplaçant l’actuelle directive 95/46 de
19953, une étape importante vient d’être franchie dans le processus de réforme du cadre
européen en matière de protection des données personnelles et de la vie privée annoncé par
Vivianne Reding le 25 janvier 20124. En même temps que le vote de compromis sur la
proposition de règlement, la Commission LIBE a voté un mandat de négociation permettant
le début du trilogue entre le Parlement, le Conseil et la Commission.
Si le vote de la Commission LIBE est salué par la CNIL comme « un signal politique puissant
qui exprime une identité politique forte de l’Union européenne sur un sujet essentiel, tant
sur le plan des valeurs que sur celui des enjeux économiques 5», une ombre plane sur l’issue
de la réforme.
En effet, les travaux du Conseil sont moins avancés que ceux du Parlement et aucun accord
n’a pu être trouvé à ce jour, les positions des États membres manifestant des clivages
importants. Le sommet des 24/25 octobre 2013 a confirmé la très forte opposition entre les
États membres sur les objectifs et le calendrier de la réforme : ainsi, alors que la France et la
Pologne soutiennent fermement le projet de réforme, un groupe de pays6, mené par le
Royaume-Uni, plaide au contraire pour retarder l’adoption de la réforme et pour l’abandon
du règlement en faveur d’une directive7. Une telle position est pourtant en contradiction avec
Rapport du parlement européen du 22 novembre 2013 : « Report on the proposal for a regulation of the European Parliament
and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of
such data (General Data Protection Regulation)”, COM(2012)0011 – C7-0025/2012 – 2012/0011(COD).
2 http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf
3 Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.
4 Voir le paquet législatif sur http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm et également le
mini site consacré à la réforme http://ec.europa.eu/justice/data-protection/minisite/. A titre de rappel le Paquet comprend
deux volets : une proposition de Règlement fixant le cadre général et remplaçant l’actuelle directive de 1995 et une Directive
s’appliquant aux traitements mis en œuvre à des fins de police et de coopération policière et judiciaire en matière pénale .
5 CNIL, « Règlement européen sur la protection des données : une étape décisive franchie par le Parlement européen », article,
23 octobre 2013, accessible sur : http://www.cnil.fr/linstitution/actualite/article/article/reglement-europeen-sur-laprotection-des-donnees-une-etape-decisive-franchie-par-le-parlemen/
6 Dont la Hongrie, la République Tchèque et la Suède.
7 Cf. Jeremy Fleming, “Data protection: France, UK lead rival camps at summit”, Euractiv, 24 octobre 2013, accessible sur
http://www.euractiv.com/specialreport-digital-single-mar/france-uk-lead-rival-data-camps-news-531283
1
1
l’un des objectifs essentiels de la réforme, celui d’une plus grande harmonisation des règles
de protection des données à caractère personnel mettant fin à la fragmentation de régimes
juridiques entre les États membres8. Les articles de presse commentant la réunion du Conseil
des ministres des 24/25 octobre 2013 font état d’un possible report de la date d’adoption du
paquet de réforme à 2015, soit après la fin de la législature actuelle du Parlement, au lieu
d’une adoption pour le printemps 20149. Les commentateurs ont en effet relevé les
différences entre le texte du projet de conclusions distribué avant la réunion10 se référant à
une adoption « l’année prochaine » et le texte final lequel ne comporte plus la référence à
l’objectif d’une adoption pour le 2014, mais à une adoption « rapide (…) d’ici 2015 »11.
Un tel report pourrait avoir pour conséquence de reporter fin 2015, voire même au-delà,
l’adoption du paquet de réforme dans la mesure où il pourrait entraîner un nouvel examen du
paquet de réforme, et donc une remise à plat possible du texte dans son ensemble y compris
sur les points de compromis dégagés par le vote de la Commission LIBE, et ce d’autant, qu’à
ce jour, aucun accord véritable ne semble se dégager tant sur l’instrument (un règlement au
lieu d’une directive), que sur les principales dispositions. Le sort du texte dépendra aussi des
orientations de la Présidence de l’Union. Conscient des difficultés de ce calendrier, le
rapporteur au Parlement européen sur la proposition de règlement, Yan Philip Albrecht, a
annoncé son intention de soumettre le Texte de compromis à un vote en session plénière
avant la fin de la législature actuelle, quel que soit l’état d’avancement des travaux du Conseil,
et ce afin de figer le Texte de compromis du Parlement, dans l’espoir d’accélérer le trilogue.
Si la nécessité d’une réforme du cadre européen en matière de protection des données à
caractère personnel n’est pas remise en cause, la directive de 1995 ayant montré ses limites,
tant s’agissant de la prise en compte des défis posés par les évolutions technologiques, que de
l’insuffisance du niveau d’harmonisation des législations des états membres12, le texte qui
serait adopté au final pourrait grandement différer de l’actuelle proposition de règlement,
tant sur la forme (abandon du règlement au profit d’une directive), ou sur sa portée
(règlement posant un certain nombre de principes mais renvoyant à des textes sectoriels).
Le présent article n’entend pas analyser l’ensemble du paquet de réforme qui a déjà fait
l’objet de nombreux commentaires13 mais de présenter les évolutions conceptuelles (I) et
d’analyser les principaux points de controverse identifiés tant au regard du projet initial qu’à
l’occasion de l’examen du texte par le Parlement et le Conseil (II).
I – Les principales évolutions conceptuelles
Des modifications substantielles ont été apportées par la commission LIBE du Parlement
européen au texte initial présenté par la Commission. Ainsi 104 amendements ont été
adoptés, reflétant les travaux des différents sous-comités. Si certains de ces amendements
reprennent ceux introduits le 17 décembre 2012 dans le projet de rapport14 présenté par Yan
Philip Albrecht (ci-après « le projet de rapport Albrecht »), de nombreuses propositions
Protection de la vie privée dans un monde en réseau. Un cadre européen relatif à la protection des données, adapté aux défis
du 21e siècle, Communication de la commission du 25 janvier 2012, COM(2012) 9 final, p.9.
9 Cf. Jeremy Fleming, “Data protection rules delayed at EU summit talks”, Euractiv , 25 octobre 2013 mis à jour le 31 octobre
2013, accessible sur : http://www.euractiv.com/specialreport-digital-single-mar/france-germany-form-anti-spy-pac-news531306
10 Conseil européen (24-25 octobre 2013), projet de conclusions, 12397/13, Bruxelles, 21 Octobre 2013, point 8, accessible sur :
http://www.openeurope.org.uk/Content/Documents/Pdfs/131021EUCOdraft.pdf
11 Conseil européen (24-25 octobre 2013), conclusions, EUCO 169/13, Bruxelles, 25 Octobre 2013, n° 169/13, point 8, accessible
sur : http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/139197.pdf
12 V. N. Métallinos, « L'évolution du droit européen en matière de protection des données à caractère personnel et sa
pénétration dans les droits nationaux: principes fondateurs et instruments de régulation, L’Observateur de Bruxelles »,
07/2013, n°93, pp8-17.
13 Voir dans la présente revue : F. Naftalski et G. Desgens-Pasanau, Projet de règlement européen sur la protection des
données: ce qui va changer pour les professionnels, RLDI, 2012, 2693 ; E. Debiès, Impact futur règlement droits des
personnes sphère sociale, RLDI, 2013, 3176 ; F. Banat-berger, Archives et protection des données personnelles, RLDI, 2013,
3177 ; F. Mattatia, Ce qui va changer pour la CNIL, RLDI, 2013, 3210 ; Christine Causse-Gabarrou, Les transferts
internationaux de données à caractère personnel dans la proposition de Règlement du Parlement européen et du Conseil et
compétitivité des entreprises : Perspectives d’amélioration, RLDI, 2013-98, n°3267.
14 Projet de rapport sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général
sur la protection des données), COM(2012)0011 – C7-0025/2012 – 2012/0011(COD).
8
2
figurant dans le projet de rapport Albrecht n’ont pas été reprises. Ce dernier comportait en
effet 350 amendements. Il y a lieu toutefois de saluer le travail accompli par les
parlementaires dans la mesure où le dépôt de plus de 4 000 amendements, dans un contexte
très passionnel15, avait laissé craindre un enlisement complet du projet.
Si le Texte de compromis présente un certain nombre d’avancées sur le plan conceptuel,
notamment s’agissant de la modulation du champ d’application du règlement et de la
définition des nouveaux droits, leur analyse révèle qu’un important travail de rédaction et de
précision est encore nécessaire afin d’aboutir à une cohérence d’ensemble et à assoir leur
acceptabilité par les différents acteurs, compte tenu de l’ambition d’aboutir à une approche
unique pour toutes les parties concernées (principe dit du « one size fits all »). Au nombre
des évolutions notables depuis le projet initial, celles ayant marqué la notion de
pseudonymat des données (a), le concept et les usages du profilage (b), l’introduction puis
l’abandon du concept d’éditeur de systèmes de traitements de données (c), le retrait du droit
à l’oubli (c) et l’apparition d’une standardisation de l’information des personnes (e) méritent
d’être examinées ici.
a) La prise en compte des « données pseudonymes »
Parmi les nouveaux concepts et notions introduits par les amendements issus du projet de
rapport Albrecht, la notion de « pseudonyme » désignait « un identifiant unique qui est
spécifique à un contexte donné et qui ne permet pas l’identification directe d’une personne
physique mais permet de distinguer une personne concernée »16.
Cette notion est finalement abandonnée dans le Texte de compromis au profit du nouveau
concept de « données pseudonymes » définies comme « des données personnelles qui ne
peuvent être attribuées à une personne en particulier, sans recours à des informations
complémentaires, du moment que de telles informations complémentaires sont conservées
séparément et font l’objet de mesures techniques et organisationnelles pour permettre leur
non – attribution »17.
Cette nouvelle catégorie de données devrait notamment couvrir le traitement des adresse IP
ou cookies dont l’assujettissement aux dispositions du règlement est d’ailleurs expressément
reconnu dans les considérants de la proposition de règlement. Par ailleurs, les « données
pseudonymes » ne devront pas être confondues avec deux autres catégories de données pour
lesquelles le Texte de compromis introduit des définitions : les « données anonymes » et les
« données chiffrées » Selon le Texte de compromis, les « données anonymes » sont des
« données personnelles collectées, altérées, ou traitées de quelque façon que ce soit, de
manière à ne plus pouvoir être attribuées à une personne concernée » qui « ne doivent pas
être considérées comme des données personnelles » 18 et sont donc exclues du champ
d’application du Règlement. En ce qui concerne les « données chiffrées », il s’agit « de
données personnelles qui par des mesures de protection technique sont rendues
inintelligibles à toute personne qui n’est pas autorisée à y accéder » 19..
Le concept de « données pseudonymes » n’est pas totalement nouveau dans la mesure où le
Projet de rapport Albrecht y faisait référence et reconnaissait la possibilité pour les
responsables de traitement traitant des données pseudonymes de pouvoir bénéficier d’un
Jamais un texte européen n’aura fait l’objet d’autant de lobbying ou déchainé tant de passion, à tel point qu’un attaché
parlementaire, approché par les lobbyistes, a pu déposer 158 amendements défavorable au texte à l’insu de son député : V.
l’information rapportée sur le site du Journal belge Le Soir le 21 novembre 2013 :
http://www.lesoir.be/365541/article/actualite/monde/2013-11-21/collaborateur-louis-michel-remis-sa-demission et repris
par le Monde : http://www.lemonde.fr/europe/article/2013/11/21/belgique-il-depose-158-amendements-a-l-insu-de-sondepute-et-demissionne_3518442_3214.html?xtmc=belgique&xtcr=2 .
16 Art.4 (2a).
17 Art.4 (2a).
18 Considérant (23).
19 Art. 4, (2b).
15
3
régime d’obligations allégé20. Dès lors, on aurait pu s’attendre à ce que l’introduction de cette
nouvelle catégorie de données par le Texte de compromis s’accompagne de la définition d’un
régime juridique différencié applicable aux « données pseudonymes ».
Or, si à la lumière de la définition introduite par le Texte de compromis il apparaît que le
traitement de « données pseudonymes » resterait soumis au respect des dispositions du
Règlement, (dans la mesure où il s’agit de données personnelles), les conséquences juridiques
et pratiques de l’apparition de ce nouveau concept s’agissant en particulier de l’allègement
des obligations ne ressortent toutefois que de manière parcellaire des dispositions du Texte
de compromis. Ainsi, l’article 10 de ce texte prévoit de façon quelque peu abstraite que
lorsqu’un responsable de traitement ne peut se conformer à des dispositions du Règlement
dans la mesure où il traite des « données pseudonymes », celui-ci n’a pas à respecter ces
dispositions quelle qu’elles soient. L’allègement visé par cet article devrait principalement
porter à notre sens sur les obligations relatives aux droits des personnes puisqu’il est
également précisé qu’un responsable de traitement traitant des « données pseudonymes » (et
n’étant donc pas en mesure d’identifier une personne) est dispensé d’avoir à obtenir des
informations complémentaires lui permettant d’identifier la personne concernée aux seules
fins de satisfaire aux obligations du Règlement. Bien que non mentionné explicitement, un
autre avantage résulte des dispositions de l’article 20 et du considérant 58 du Texte de
compromis aux termes desquels le profilage des individus à partir d’un traitement de
« données pseudonymes » ne serait pas soumis au consentement préalable des personnes
concernées.
L’absence de mesures plus concrètes d’allègement n’est pas de nature à encourager les
organismes à privilégier le traitement de « données pseudonymes ». À cet égard, la
Commission LIBE aurait notamment pu s’inspirer des amendements votés par le Conseil
proposant notamment l’absence d’obligation de notifier aux personnes concernées les failles
de sécurité impliquant des données pseudonymes, ou encore la reconnaissance de l’intérêt
légitime du responsable traitement - et donc l’absence d’obligation d’obtenir le consentement
des personnes concernée - pour procéder à la pseudonymisation des données21.
b) Les précisions apportées au concept de profilage
L’encadrement des techniques dites de profilage est un élément central de la réforme. Ainsi,
l'article 20 de la proposition de règlement présentée par la Commission a instauré le droit de
la personne concernée de ne pas être soumise à une « mesure produisant des effets
juridiques à son égard ou l’affectant de manière significative sur le seul fondement d’un
traitement automatisé destiné à évaluer certains aspects personnels propres à cette
personne physique ou à analyser ou prévoir en particulier le rendement
professionnel de celle-ci, sa situation économique, sa localisation, son état de santé,
ses préférences personnelles, sa fiabilité ou son comportement ».
Le Texte de compromis de la Commission LIBE érige le profilage au rang de concept en
introduisant une nouvelle définition à l’article (3a) et s’attache à préciser d’avantage les cas
dans lesquels son utilisation est permise. Ainsi, à l’instar de ce qui est prévu par la directive
95/46 de 1995 pour la prise de décision automatisée, ce n’est pas le profilage en soi qui fait
l’objet d’un encadrement particulier, mais lorsque son utilisation produit des effets juridiques
ou affecte de manière significative les intérêts, droits et libertés des personnes concernées.
20
21
Rapport de la Commission des libertés civiles, de la justice et des affaires intérieures, p.65, 214
Propositions d’amendement concernant les Considérants (39) et (68a) :Conseil de l’Union européenne , Proposition de
règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) Questions essentielles concernant les chapitres I à IV, 31 mai 2013, p.31
4
Si tel est le cas, le recours au profilage n’est possible que dans trois cas : le profilage est prévu
par la loi, il est nécessaire à la conclusion ou l’exécution d’un contrat (pour autant que la
demande présentée par la personne concernée ait été satisfaite), ou enfin il repose sur le
consentement de la personne concernée. Dans tous les cas, la mise en œuvre du profilage doit
s’accompagner de mesures appropriées pour assurer la sauvegarde des droits et libertés des
personnes et le profilage ne doit pas résulter en une discrimination fondée l’utilisation ou la
production de données relatives à la race ou l’origine ethnique, les opinions politiques,
religion ou croyances, l’appartenance syndicale, l’orientation ou l’identité sexuelles. En
outre, les mesures de profilage ne peuvent reposer uniquement sur les catégories
particulières de données listées à l’article 9, lesquelles incluent outre les données
précédemment énumérées, les données relatives aux opinions philosophiques, les activités
syndicales, les données génétiques ou biométriques, les données relatives à la santé ou la vie
sexuelle, les sanctions administratives, jugements, infractions pénales ou suspicions,
condamnations ou mesures de sécurité s’y rapportant.
Par ailleurs, ce recours au profilage doit s’accompagner d’une intervention humaine, les
décisions ou effets juridiques à l’égard d’une personne ne pouvant reposer seulement ou de
manière prépondérante sur le profilage et la personne concernée doit se voir expliquer toute
décision prise sur la base du profilage.
L’accent est donc mis sur le risque de discrimination illégitime résultant de l’utilisation de
mesures de profilage, ainsi que sur la nécessité de prévoir une intervention humaine et
assurer la transparence de l’utilisation du profilage vis-à-vis de l’intéressé. Toutefois, la
nouvelle rédaction de l’article 20 apparaît très laborieuse et est loin d’être claire, notamment
s’agissant de l’utilisation du profilage dans le cadre de la conclusion ou l’exécution de
contrats ou de la distinction opérée entre l’interdiction de l’usage à des fins de discrimination
de seulement certaines données appartenant aux catégories particulières de l’article 9, et non
de toutes (sans compter le manque d’harmonisation du texte de l’article 20 listant les
données interdites et de l’article 9).
c) L’abandon de la référence au « droit à l’oubli » au profit du « droit à
l’effacement »
À côté du droit de suppression et du droit d’opposition existant déjà dans le cadre actuel,
l’article 17 de la proposition de Règlement avait consacré un « droit à l’oubli et à
l’effacement » des données, visant à prendre en compte la dissémination des données sur
internet et plus particulièrement au travers des réseaux sociaux.
Ce « droit à l’oubli » numérique qui a suscité de nombreux débats, en raison notamment des
difficultés liées à sa réalisation technique dans un environnement ouvert pouvant donner lieu
à une republication incessante des données22 ou encore dans le contexte de la dissémination
du stockage des données par l’informatique en nuage (cloud computing), ne figure plus dans
le Texte de compromis. En effet, l’article 17 est désormais intitulé, «droit à l’effacement »
uniquement. Cependant, il n’est pas certain que cette mise à l’écart du droit à l’oubli par le
Texte de compromis ait pour conséquence d’amoindrir le contenu des dispositions qu’il visait
sur le fond.
D’une part, le passage du « droit à l’oubli » au seul « droit à l’effacement » des données
semble d’avantage relever de l’ordre terminologique pour tenir compte de l’impossibilité
technique de pouvoir assurer en pratique un « véritable » droit à l’oubli.
D’autre part, le Texte de compromis introduit le droit pour les personnes d’obtenir
directement des tiers l’effacement de leurs données et non seulement du responsable de
traitement comme prévu par le texte initial de la Proposition de règlement, ce qui apparaît
sans nul doute comme un renforcement de ce droit.
22
ENISA, “The right to be forgotten : between expectations and practice”, November 2012, p.10, disponible à l’adresse suivante
: http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/the-right-to-be-forgotten
5
Par ailleurs, dans le cas où des données personnelles auront été rendues publiques en
l’absence de fondement juridique, le responsable de la publication de ces données aurait
l’obligation le cas échéant de veiller à ce que ces données soient effacées par le tiers, alors que
texte initial prévoit seulement une information des tiers sur la demande d’effacement des
personnes dans ce cas.
Reste à savoir dans quelle mesure ces dispositions qui restent très spécifiques aux acteurs de
l’Internet pourront être mises en œuvre en pratique.
d) La non-reprise du concept d’ « éditeur de systèmes de traitement
automatisé de données ou de fichiers de données» en tant qu’acteur du
privacy by design/default
Le projet de rapport Albrecht avait introduit, aux côtés des responsables de traitement et
sous-traitants, un nouvel acteur dans le paysage de la protection des données à caractère
personnel redevable d’obligations au regard de l’application de la législation. L’article 6bis du
projet de rapport définissait ainsi l’ « Éditeur » comme: « une personne physique ou morale,
une autorité publique, un service ou tout autre organisme qui crée des systèmes de
traitement automatisé de données ou des fichiers de données destinés au traitement des
données à caractère personnel par les responsables du traitement des données et les soustraitants»23. L’Éditeur désignait ainsi le concepteur des systèmes permettant le traitement de
données à caractère personnel, comme par exemple un éditeur de solutions logicielles ou
encore de dispositifs de collecte de données (par exemple, un fabriquant de drones). L’éditeur
devait être, au même titre que le Responsable de traitement ou le Sous-traitant, responsable
des obligations relatives à la protection de la vie privée par défaut (Privacy by default) ou dès
la conception (Privacy by design), et ce, même s’il ne procédait pas lui-même au traitement
de données à caractère personnel. Bien que le rôle de l’Éditeur n’ait pas été pleinement
défini, l’extension du champ d’application de la réglementation aux « fabricants de
technologies » marquait un pas vers la responsabilisation de ces acteurs et aurait pu
constituer une action concrète permettant d’alléger la charge des PME-TPE qui restent seules
responsable de l’usage des technologies, sans pour autant en maîtriser la conception ou,
même avoir simplement le choix de ne pas l’utiliser.
Si l’obligation pour l’Éditeur d’intégrer le Privacy by design ou by default de manière
systématique, sans prise en compte des caractéristiques du système ou de son usage, peut
paraitre excessif, et que là encore, il serait important de définir des cas où la règle est
impérative, et d’autres où elle est facultative et où elle s’accompagne de mesures incitatives,
le maintien du concept aurait pu présenter un aspect stratégique s’agissant de la promotion
de labels européens portant sur des produits ou applications et rendre économiquement
viable l’émergence d’un marché de systèmes intégrant le Privacy by design ou by default.
e) L’apparition d’une standardisation de l’information des personnes
L’obligation pour le responsable de traitement d’informer les personnes concernées des
modalités de traitement de leurs données « sous une forme intelligible et en des termes
clairs et simples »24 est complétée dans le Texte de compromis, par la nécessité de fournir
cette information sous format d’icônes tout en réservant à la Commission européenne le
pouvoir de définir leur contenu par la voie d’actes délégués25. Cette nouvelle forme
d’information des personnes par une standardisation des éléments d’information vise à
remédier à la complexité des documents d’information sur les conditions de traitement des
données personnelles (publiés par un site Internet ou un éditeur d’application mobile par
exemple), afin de permettre aux personnes concernées de saisir en « un coup d’œil » les
conditions de traitement de leurs données26.
Projet de rapport Albrecht, art.6 bis.
Rapport de la Commission des libertés civiles, de la justice et des affaires intérieures, p.82
25 Idem.
26 Rapport de la Commission des libertés civiles, de la justice et des affaires intérieures, p.83
23
24
6
Le Texte de compromis va encore plus loin dans cette démarche de standardisation de
l’information des personnes. En effet, il introduit dans la proposition de Règlement un
ensemble d’icônes qui devra être présenté par le responsable de traitement aux personnes
concernées au moment de la collecte de leurs données sous la forme reproduite ci-après (en
anglais). Ainsi, les icônes doivent faire apparaître si oui ou non des données personnelles (i)
sont collectées au-delà de ce qui est nécessaire au regard de la finalité du traitement, (ii) sont
conservées pour une durée supérieure à ce qui est nécessaire, (iii) sont traitées pour des
finalités autres que celles pour lesquelles elles sont collectées, (iv) sont « disséminées »
auprès de partenaires commerciaux, (v) sont vendues ou louées et (vi) font l’objet de mesures
de chiffrement. Cette information standard devra dans un second temps être complétée par
une notice d’information détaillée comprenant les éléments d’information déjà prévus à ce
titre par la directive 95/46 de 1995 en y ajoutant la mention des mesures de sécurité mises en
œuvre, la durée de conservation des données, ou encore le recours au profilage des personnes
notamment.
L’apparition d’une standardisation de l’information des personnes par l’utilisation d’une
iconographie dédiée constitue un élément positif qui devrait permettre aux personnes
concernées de gagner en lisibilité s’agissant du traitement de leurs données. Néanmoins, les
modalités selon lesquelles le Texte de compromis envisage de mettre en œuvre le dispositif
suscitent quelques réserves.
D’une part, l’introduction d’une iconographie non modulable dans le texte même du
Règlement est contestable en ce qu’elle crée une obligation générale applicable à tout
responsable de traitement sans tenir compte de la pertinence ou non de fournir une telle
information pour tout traitement de données. Le recours à des actes délégués de la
Commission européenne pour définir le contenu de ces icônes en fonction de certains
secteurs d’activité ou de certains traitements par exemple semble plus approprié à ce titre.
7
D’autre part, les éléments d’information/icônes choisis (au demeurant très orientés vers la
collecte de données sur Internet et dont la conformité avec les trois premiers constitue en
tout état de cause une exigence légale), sont réducteurs au regard des caractéristiques et
enjeux qu’un traitement de données peut présenter. Il aurait notamment été opportun
d’informer les personnes à ce stade sur des éléments d’ordre plus général tels que l’existence
ou non de mesures de profilage, le traitement de données sensibles ou encore du transfert de
données hors de l’Union européenne. Ainsi, le modèle d’information imposé par le Texte de
compromis crée le risque de ne pas être adapté voire même inapproprié dans de nombreux
cas (il semble par exemple « hors propos » pour un employeur de devoir informer ses
salariés sur le fait que leurs données ne sont pas « disséminées » auprès de partenaires
commerciaux et qu’elles ne sont pas vendues ni louées). Ceci pourrait aboutir à des situations
dans lesquelles les personnes ne seraient pas informées de manière adéquate, mettant ainsi à
l’épreuve l’obligation de collecte loyale des données.
D’un point de vue pratique, la fourniture d’une information à double niveau au stade de la
collecte des données, dont la mise en œuvre constituera une charge importante pour le
responsable de traitement risque aussi finalement d’être source de complexité pour les
personnes concernées.
En définitive, il semblerait que la solution choisie par le Parlement puisse conduire à vider de
sa substance l’objectif premier visé par la standardisation à savoir la simplification et
l’amélioration de la qualité de l’information des personnes.
À côté des évolutions conceptuelles, qui dénotent comme il vient d’être examiné, que
plusieurs points méritent encore d’être approfondis, plusieurs éléments constituant la clé de
voute de la réforme de la directive 95/46 de 1995 font également l’objet de controverse ou
suscitent de d’importantes interrogations.
II - Les éléments de controverse et difficultés tenant aux mesures phares du
projet de réforme
De nombreux points de controverse ont pu émerger dès la présentation du projet initial du
texte de règlement en janvier 2012 par la Commission européenne dont les différents acteurs
concernés –autorités de protection des données, acteurs économiques États membres– ont
successivement pu se faire l’écho dans diverses instances officielles.
Les éléments qui font encore l’objet de vifs débats aujourd’hui portent notamment sur la
nature de l’instrument choisi, le champ d’application extensif, l’importance donnée au
consentement des personnes pour légitimer un traitement de données, le renforcement des
obligations pesant sur les responsables de traitement ou encore le durcissement notoire des
sanctions notamment financières. Certaines de ces controverses ont pu encore être
accentuées au cours des travaux du Parlement lors de la présentation du projet de rapport
Albrecht mais aussi lors des travaux menés au sein du Conseil dont l’état d’avancement des
négociations témoigne de nombreux points de blocage, reflet de ces controverses. L’adoption
par la Commission LIBE du Texte de compromis ne devrait pas permettre d’y remédier.
Sans prétendre à l’exhaustivité, les éléments de controverses analysés ici porteront sur les
interrogations que suscite le champ d’application extraterritorial du règlement (a) la mise en
place d’un système de guichet unique (b) et les difficultés tenant à l’identification des
traitements à risque (c).
a) La question de l’effectivité de l’extraterritorialité du champ d’application
Le texte proposé par la Commission prévoit que le règlement s’appliquera aux traitements de
données à caractère personnel mis en œuvre par des responsable de traitements ou des soustraitants dès lors qu’ils sont établis dans l’Union européenne mais aussi aux responsables de
traitement établis en dehors de l’Union européenne lorsque les traitements de données qu’ils
mettent en œuvre sont liés à « l’offre de biens ou services » ou « à l’observation du
8
comportement » de personnes résidant au sein de l’Union européenne27. Dans ce cas, le
responsable de traitement est tenu de désigner un représentant dans l’Union étant précisé
que des exemptions à cette l’obligation de désignation sont également prévues28. Les
amendements votés par la Commission LIBE apportent des précisions à ces dispositions et
étendent plus avant le champ d’application du Règlement. Ainsi, il est précisé que le
l’application du Règlement aux responsables de traitements ou aux sous-traitants établis
dans l’Union européenne vaut quel que soit le lieu du traitement des données (c’est à dire
dans l’Union européenne ou en dehors de celle-ci). Surtout, l’application du Règlement est
étendue aux sous-traitants établis en dehors de l’Union européenne selon les mêmes critères
de rattachement que ceux fixés pour le responsable de traitement hors de l’Union européenne
(l’on notera cependant qu’une d’obligation de désigner un représentant n’est pas prévue dans
ce cas). Ces critères de rattachement sont d’ailleurs quelque peu redéfinis puisque la notion
de « résidence » au sein de l’Union européenne pour les personnes dont les données seront
traitées disparaît de même que la notion de « comportement » s’agissant de l’ «observation »
des personnes au sein de l’Union européenne. Il est par ailleurs indiqué qu’il s’agit de « l’offre
de biens et de services » soumis ou non à un paiement.
L’objectif de ces dispositions tant au regard du texte initial que des amendements issus du
Texte de compromis est manifestement de permettre l’application de la règlementation
européenne aux multinationales situées en dehors de l’Union européenne et qui traitent des
données personnelles sur des personnes dans l’Union, visant en particulier les entreprises
proposant des services en ligne (le plus souvent à titre gratuit) ou encore les prestataires de
services d’hébergement données reposant sur des solutions de Cloud computing.
Au-delà des difficultés d’interprétation que ces dispositions soulèvent pour pouvoir
déterminer si le Règlement est applicable à des entreprises situées en dehors de l’Union
européenne, notamment pour savoir à quel moment l’« offre de biens et services » est
caractérisée (par sa simple disponibilité dans l’Union ou lorsque la personne y a souscrit ?),
s’il convient également d’inclure dans ce champ les personnes qui seraient de passage dans
l’Union européenne, (le critère de la « résidence » dans l’UE étant écarté par la Commission
LIBE), ou encore ce que recouvre la notion « d’observation » des personnes (création de
profils et/ou analyse du comportement des personnes ?), c’est l’application effective du
Règlement à des entités situées en dehors de l’Union européenne qui suscite des
interrogations. En effet, si l’idée de s’assurer que les données collectées sur des personnes au
sein de l’Union européenne seront traitées en conformité avec la réglementation européenne
pour notamment permettre aux personnes concernées d’exercer les droits dont ils disposent
à ce titre est louable, encore faut-il que des mécanismes de mise en œuvre effective de ces
règles soient prévus. Plus concrètement, comment pourra-t-on contrôler qu’une société
située en dehors de l’Union européenne qui propose des biens et services à des personnes
dans l’UE respecte effectivement les dispositions du Règlement et surtout assurer l’exécution
de sanctions notamment pécuniaires pouvant être prononcées par une autorité de contrôle
des données ou une juridiction à l’encontre de sociétés sans aucune présence physique ni
avoirs sur le territoire de l’Union ?
Il est vrai que l’article 25 de la proposition de Règlement vise en partie à répondre à ces
préoccupations puisqu’il prévoit l’obligation pour un responsable de traitement établi hors de
l’Union européenne (mais non pour un sous-traitant selon les amendements de la
Commission LIBE) de désigner un représentant dans l’Union tenu de remplir les obligations
du responsable de traitement qu’il représente et de supporter les sanctions qui pourraient
être prononcées à son encontre. Toutefois, s’agissant d’un représentant, il n’est pas certain
que celui-ci présente les garanties de solvabilité nécessaires en cas de sanction pécuniaire. À
cet égard, il aurait été utile de prévoir que la désignation d’un représentant s’accompagne de
l’obligation pour celui-ci de justifier de ressources financières suffisantes auprès de l’autorité
27
28
Article 3 de la proposition de Règlement
Article 25 de la proposition de Règlement
9
de contrôle des données de l’État membre où le représentant serait établi (en s’inspirant du
mécanisme existant pour les Règles d’Entreprise Contraignantes - BCR) ou de constituer une
garantie financière adéquate auprès d’un établissement bancaire situé dans l’Union
européenne.
En tout état de cause, de nombreuses incertitudes demeurent quant à la mise en œuvre
effective des dispositions du Règlement aux situations dans lesquelles un représentant dans
l’Union européenne n’aura pas été désigné - soit en raison d’une exemption à l’obligation de
désignation, soit quand un responsable de traitement omet de le faire (la suppression par le
Texte de compromis des pénalités qui seraient applicables dans ce cas n’est pas de nature à
l’en dissuader) –ou lorsqu’un responsable de traitement hors de l’Union européenne est
directement mis en cause comme la proposition de Règlement le prévoit29 (le Texte de
compromis voté par la Commission LIBE propose toutefois d’abandonner cette possibilité).
Ainsi, la protection des personnes recherchée par ces dispositions à la portée extraterritoriale
pourrait ne rester que virtuelle si les modalités permettant leur application effective ne sont
pas définies. Des préoccupations en ce sens ont notamment été exprimées par l’autorité de
contrôle britannique (Information Commissioner’s Office -ICO) qui considère que le
Règlement ne devrait pas conduire les consommateurs européens à croire qu’ils disposent
d’un degré de protection que ce texte ne peut en réalité leur offrir, en l’absence de
mécanismes d’exécution transfrontaliers effectifs30.
b) Le système de « guichet unique »
Le système de « guichet unique » associé au mécanisme de cohérence est l’un des piliers de la
Proposition de règlement de la Commission européenne. Le mécanisme du « guichet
unique » ou « one-stop-shop » tel qu’il figure dans la Proposition de règlement pose de
principe d’une seule autorité de contrôle chargée de surveiller les activités d’un même
responsable du traitement et de prendre les décisions en conséquence, pour les entreprises
exerçant leurs activités dans plusieurs États membres. La Proposition prévoit que l'autorité
agissant en tant que tel ne devrait être l'autorité de contrôle de l'État membre dans lequel le
responsable de traitement ou le sous-traitant a son établissement principal.
Le système du « guichet unique » repose sur le postulat que l’identification d’une seule
autorité de contrôle permettrait d’aboutir à une décision à la fois rapide et cohérente, tout en
assurant la sécurité juridique et la réduction des charges administratives pour les entreprises.
Le mécanisme de « guichet unique » ne se conçoit que grâce au mécanisme de contrôle de
cohérence encadrant la coopération entre les différentes autorités de contrôle imposant la
saisine du Comité européen de protection des données (CEPD), pour les traitements
transnationaux (offre de biens ou services à des personnes se trouvant dans plusieurs États
membres, ou à l’observation de ces personnes, ou qui sont susceptible d’affecter
considérablement la libre circulation de données à caractère personnel) 31.
Le système du « guichet unique » a fait l’objet de vives discussions dans le cadre du groupe
« Échange d'informations et protection des données (DAPIX) »32. Si le Conseil a néanmoins
exprimé son soutien pour l’application d’un tel principe aux traitements « transnationaux »
prenant notamment en considération le fait qu’une telle mesure est de nature à favoriser le
développement des échanges au sein de l’Union européenne, contribuant ainsi à la croissance
29
Article 78 de la proposition de Règlement.
30 « Information Commissioner’s Office : initial analysis of the European Commission’s proposals for a revised data
protection legislative framework », p5, accessible à l’adresse suivante :
http://www.ico.org.uk/~/media/documents/library/Data_Protection/Research_and_reports/ico_initial_analysis_of_revised_
eu_dp_legislative_proposals.ashx
31 Commission, Proposition de règlement, considérant 105.
32 Conseil de l’Union européenne, Règlement général sur la protection des données - Le mécanisme du guichet unique,
2012/011 (COD), 18 septembre 2013, 13643/13.
10
de l'économie numérique, aucun accord ne semble émerger s’agissant des modalités de
fonctionnement du « guichet unique »33.
Une majorité d'États membres semblent favorables à la recherche d’un modèle reposant sur
une décision unique prise par l’autorité de contrôle du « principal établissement » avec une
compétence exclusive limitée à l’exercice de certaines compétences seulement, tels que des
pouvoirs d'autorisation et de consultation, de telle sorte notamment qu’elle n’affecte pas celle
des autorités de contrôles pour les traitements limitées à un seul État membre ou ne fasse pas
obstacle à leur saisine par les personnes concernées d’une autre autorité de contrôle que celle
du « guichet unique ». Certains États membres semblent avoir exprimé leur préférence pour
le mécanisme de coopération, transformant l’autorité unique du « guichet unique »
en « autorité chef de file » chargée de la coordination entre les différentes autorités de
contrôle concernées, mais ne disposant pas du pouvoir de prendre des décisions s’imposant
aux autres autorités. Plusieurs solutions alternatives ont été envisagées, comme celle
consistant à renforcer l’implication du Comité européen de protection des données, soit en
amont de la décision, soit en aval.
La désignation d’une autorité « chef de file » au lieu et place du « guichet unique » a
également les faveurs de la Commission LIBE34 , le Texte de compromis instaurant une prise
de décisions étant élaborée sur le mode consensuel, même si en définitive l’autorité « chef de
file » dispose seule du pouvoir de décider le CEPD pouvant être saisie en vue de la
désignation de l’autorité « chef de file », notamment en cas de désaccord entre autorités.
La solution de la substitution d’une autorité « chef de file » à une autorité unique paraît
séduisante en ce qu’elle est plus respectueuse de la compétence respective des autorités et
qu’elle préserve du risque de « forum shopping ». Toutefois, elle présente un risque
important de blocage en cas de désaccord entre les autorités, le recours au CEDP pouvant
s’avérer très lourd et pas toujours efficace, dans la mesure où il ne dispose pas de pouvoir de
décision.
Aussi, la délégation française auprès du Conseil a présenté une autre variante possible par
rapport à la Proposition de la Commission reposant sur un processus de codécision. Au lieu
de concentrer certains pouvoirs décisionnels entre les mains de la seule autorité de contrôle
de l'État membre de l'établissement principal, la délégation française a proposé de permettre
aux autorités de contrôle de tous les États membres concernés de décider des mesures à
prendre à l'égard d'un responsable du traitement qui effectue des opérations dans ces États
membres. L'autorité de l'établissement principal resterait l'interlocuteur unique d'une
entreprise ayant des établissements dans différents États membres, mais elle ne serait pas
investie d'une compétence exclusive pour prendre certaines décisions, puisque les décisions
seraient prises par toutes les autorités de contrôle concernées dans le cadre d'un modèle de
codécision, à l’issue d’étapes et de règles de procédure à respecter par les autorités de
contrôle pour parvenir à une décision commune35.
Toutefois, quelle que soit la solution retenue, de réelles difficultés de mise en œuvre sont
susceptibles de remettre en cause l’effectivité du mécanisme. En effet, les juridictions des
États membres saisies par les responsables de traitement, les sous-traitants ou les personnes
concernées peuvent prendre des décisions différentes de celles adoptées à l’issue du
mécanisme de « guichet unique ». Par ailleurs, il est rare que l’examen de la licéité d’un
traitement, fut-il transnational, ne donne pas lieu à l’application concurrente d’autres
dispositions législatives et réglementaires nationales, comme les exigences de la loi bancaire
en matière de secret professionnel, la limitation des traitements du numéro de sécurité
sociale issues du code de la sécurité sociale ou l’exigence d’un agrément des hébergeurs de
Conseil de l’Union européenne ,Proposition de règlement du Parlement européen et du Conseil relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
(règlement général sur la protection des données)- Le mécanisme du guichet unique, 2012/0011 (COD), 14260/13, 3 octobre
2013.
34 Texte de compromis, article 54a.
35 Conseil de l’Union européenne, Note des autorités françaises sur la proposition de règlement « Protection des données » Mécanisme du guichet unique: Propositions de rédactions alternatives, 2012/0011 (COD), 13808/13, 19 septembre 2013.
33
11
données de santé en France prévu par le code de la santé publique, pour ne citer quelques
exemples. Une interprétation cohérente et harmonisée des règles de protection des données à
caractère personnel telles qu’elles résulteront du Règlement ne pourront écarter totalement
les spécificités tenant au droit local et il serait périlleux pour une autorité de contrôle
étrangère de statuer sur des traitements en méconnaissance de telles dispositions. Les
autorités de contrôles de tous les États membres concernés par le traitement devront donc
être associées, d’une manière ou d’une autre à la prise de décision concernant un traitement,
tout au moins sur ses modalités concrètes de mise en œuvre, lesquelles nécessiteront un
dialogue avec chaque autorité, lequel pourra intervenir soit avant la prise de décision fondée
sur le règlement, ou en aval, ce qui suppose que la décision rendue par l’ autorité « chef de
file » identifie les points devant faire l’objet d’une adaptation par le responsable de
traitement ou le sous-traitant.
c) Les difficultés tenant à l’identification des traitements « à risques »
L’idée d’une modulation des obligations incombant aux responsables de traitement en
fonction de la dangerosité présentée par le traitement est en filigrane des discussions autour
de la réforme, avec pour enjeu de permettre, d’une part, l’allègement des formalités, et,
d’autre part, la modulation des exigences requises lors du traitement de données à caractère
personnel.
Pourtant, la Proposition de règlement présentée par la Commission en 2012 présente un
caractère très prescriptif des obligations des responsables de traitement, les obligations des
responsable de traitement s’appliquant pour beaucoup de manière indifférenciée à tous les
traitements (tenue de la documentation prévues, mesures de sécurité, application des règles
du Privacy by design/ by default prévues aux articles 22 et 23) ou sur la base de critères
jugés peu pertinents (seuil de 250 personnes pour la désignation d’un délégué ou au suivi
« régulier et systématique des personnes » à l’article 35) ou trop vagues (référence aux
traitements « à grande échelle » ou de « grande ampleur » pour l’obligation de réaliser une
étude d’impact à l’article 33). Le texte initial renvoie par ailleurs à des listes établies par
chaque autorité de protection des données, ce qui pouvait augurer d’une liste consistant en
l’accumulation de toutes les situations identifiées séparément par chaque autorité sous
l’empire de la directive 95/46 de 1995, une telle liste s’ajoutant aux cas identifiés dans
l’article 33 de la proposition de règlement, à savoir le profilage des personnes, le traitement
de données relevant des catégories particulières de données (vie sexuelle, santé, recherches
épidémiologiques ou études relatives à des maladies mentales et infectieuses), de données
concernant des enfants ou de données génétiques ou biométriques ou la surveillance de lieux
publics.
Les travaux du Parlement et du Conseil ont tous deux tenté de définir et préciser d’avantage
les critères permettant d’identifier les traitements « à risques ».
La nécessité de centrer la définition des obligations et responsabilités des responsables de
traitement et sous-traitants sur une approche par les risques a constitué un point fort du
Compromis adopté le Conseil le 31 mai 201336 qui aborde la question d’une manière se
voulant pragmatique, tenant d’avantage compte des souhaits exprimés par le monde de
l’entreprise. Le Conseil estime ainsi que les mesures mises à la charge des responsables de
traitement doivent tenir compte non seulement de la nature, la portée, du contexte et des
finalités du traitement, mais aussi des risques pour les droits et libertés des personnes
concernées. Le Conseil a ainsi introduit un nouveau considérant (3bis) à la proposition de
règlement, énonçant que « le droit à la protection des données à caractère personnel n’est
pas un droit absolu ; il doit être pris en considération par rapport à sa fonction dans la
société et être mis en balance avec d'autres droits fondamentaux, conformément au principe
36
Conseil de l’Union Européenne, Proposition de règlement du Parlement européen et du Conseil relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
(règlement général sur la protection des données) - Questions essentielles concernant les chapitres I à IV, 2012/0011 (COD),
1022713, 31 mai 013.
12
de proportionnalité» 37, soulignant l'importance des autres droits fondamentaux concurrents,
notamment la liberté d’entreprise38.
Plusieurs critères ont été avancés par le Conseil pour permettre l’identification des
traitements « à risques », tout en tenant compte de la probabilité de leur survenance et de
leur gravité, à savoir :
-
Les effets produits par les traitements sur les personnes (discrimination, usurpation
d'identité, fraude , perte financière, atteinte à la réputation, perte de confidentialité
des données protégé par le secret professionnel, ou autre conséquence économique
significative ou désavantage social, privation de droits et libertés, perte de contrôle
sur les données personnelles, révélation de données aux catégories de données
particulières identifiées à l’article 9),
-
La finalité (profilage),

La vulnérabilité des personnes concernées (mineurs),

La portée du traitement (quantité de données à caractère personnel, nombre de
personnes concernées).
Ces critères étant destinés à permettre d’identifier les cas où des exigences particulières
doivent s’appliquer, notamment la conduite d’étude d’impacts.
Le Texte de compromis de la Commission LIBE, complète le projet de rapport Albrecht qui
ne comportait pas d’avancées significatives39 et reprend assez fidèlement l’idée développée
par le Conseil d’une modulation accrue en fonction de critères préétablis. Il introduit un
nouvel article 32a relatif à la conduite d’une analyse de risque, dont le résultat dicterait les
actions et obligations à mettre en œuvre, comme la désignation d’un représentant pour les
responsable de traitement non établis dans l’Union européenne, la désignation d’un délégué à
la protection des données à caractère personnel, ou encore la conduite d’une étude d’impact
considérée comme le « noyau essentiel de toute cadre durable de protection des données à
caractère personnel»40. Le résultat de l’étude d’impact devant conduire en cas de risques
graves identifiés à la consultation préalable du délégué à la protection des données à
caractère personnel ou, à défaut, de l’autorité de contrôle compétente. Les opérations
identifiées comme susceptibles de présenter des risques particuliers et les obligations
correspondantes sont présentées dans le tableau ci-dessous.
Conseil de l’Union Européenne, Proposition de règlement du Parlement européen et du Conseil relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
(règlement général sur la protection des données), 21 juin 2013, p3.
38 Ibid.
39 Le projet de rapport Albrecht n’a introduit à cet égard que très peu de modifications aux dispositions prévues initialement
s’agissant des obligations prévues aux articles 22 et 23, si ce n’est l’idée que l’appréciation du risque peut aussi résulter d’une
appréciation du nombre de personnes pouvant accéder aux données ou du volume de données traitées ou combinées entre
elles (amendement 209) . Le projet de rapport est plus innovant s’agissant du seuil à partir duquel un délégué à la protection
des données à caractère personnel doit être désignée, le rapporteur considérant que ce seuil doit être déterminé non pas selon
la taille de l’entreprise, mais plutôt sur l’importance du traitement, déterminé à partir des catégories de données traitées, du
type de traitement et du nombre de personnes concernée. Il est ainsi prévu que la désignation d’un délégué à la protection des
données sera obligatoire dès lors que les traitements mis en œuvre par le responsable de traitement ou le sous-traitant
concernent « plus de 500 personnes par an (amendement 223) , ou que l’activité principale du responsable de traitement ou
du sous-traitant consiste dans le profilage des personnes ou le traitement des données particulières visées à l’article 9.
40 Texte de compromis, nouveau considérant (71a) (traduction libre des auteurs).
37
13
Critères déterminé à l’article 32a du Texte
de compromis
Désignation
d’un
représentant
(*)
Étude
d’impact
Désignation
d’un délégué
Traitement de données personnelles relatives à
plus de 5000 personnes pendant une période de
12 mois consécutifs



Traitement de catégories particulières de
données (article 9(1)) de données de localisation
ou de données relatives à des enfants ou des
employés dans des systèmes d’information « à
grande échelle »



Adoption de mesures « reposant sur le profilage
produisant des effets juridiques
à l’égard des individus ou les affectant de
manière significative »

Traitement des données à caractère personnel à
des fins de soins, de recherches
épidémiologiques, ou d’études relatives à des
maladies mentales ou infectieuses, lorsque les
données sont traitées en vue de prendre des
mesures ou des décisions concernant des
individus spécifiques « sur une grande échelle »

Suivi automatisé des zones accessibles au public
sur une grande échelle

Violation de données à caractère personnel
susceptible de porter atteinte à la protection des
données personnelles, la vie privée, les droits ou
les intérêts légitimes des personnes concernées

Activités de base du responsable de traitement
ou du sous-traitant portant sur des opérations de
traitement qui, en raison de leur nature, de leur
portée et/ou de leurs finalités, nécessitent une
surveillance régulière et systématique des
personnes concernées

Données personnelles rendues accessibles à un
nombre de personnes qu’il n’est pas possible de
considérer pouvant être étant limité
Consultation
préalable
les opérations
de traitement
pour lesquels
l’étude
d’impact
indique qu’ils
présentent un
risque élevé ou
spécifique en
raison de leur
nature, leur
portée ou leur
finalité
ou

Aucune action spécifique n’est identifiée
le traitement
figure sur la
liste de
traitements
identifiés
comme « à
risques »
établie par le
Comité
européen de
protection des
données
(*) Pour les responsables de traitement situés en dehors de l’Union européenne
Si l’on pouvait s’attendre à ce que l’exercice consistant à définir des critères,
technologiquement neutres, destinés à permettre de qualifier le risque présenté par le
traitement de données à caractère personnel ne soit pas simple, il n’en reste pas moins que le
résultat dénote une grande complexité à laquelle les responsables de traitements devront
faire face pour déterminer les obligations qui leurs sont applicables.
Certes, les traitements qui ne répondront pas aux critères listés ci-dessus pourront être mis
en œuvre à moindre formalisme41. Toutefois, les responsables de traitement, et le cas échéant
les sous-traitants, devront assumer pleinement les erreurs de qualification, contrepartie de
l’allègement des formalités, ce qui constitue pour les responsable de traitement français un
changement de paradigme, tant l’accent reste-il encore mis en France sur l’accomplissement
des formalités, qu’il s’agisse des déclarations auprès de la CNIL ou de la tenue du registre du
Correspondant Informatique et Libertés.
41
Sauf en ce qui concerne la tenue de la documentation prévue à l’article 28, laquelle est maintenue, sans considération du
risque présenté par le traitement.
14
III - Orientations et perspectives
Le processus d’examen de la proposition de règlement est source d’importantes crispations et
incertitudes tenant tant aux difficultés de la négociation en elle-même, compte tenu de la
complexité d’un sujet aux abords très techniques, que de l’importance du lobbying, ainsi que
des éléments de contexte tant européen qu’international. Le sujet est par ailleurs
éminemment politique, étant constamment relayé par les médias, le gouvernement ayant par
ailleurs annoncé la mise en place d’un « habeus corpus numérique »42 . Il s’impacte de plus
avec les activités de négociation entre l’Union européenne et les États-Unis43, les révélations
relatives au système de surveillance américain Prism, ainsi que la renégociation de la
convention n°108 du conseil de l’Europe44.
Ce contexte a notamment entraîné la réintroduction par la Commission LIBE dans le Texte
de compromis de la clause « anti espionnage » ou « anti Fisa clause » visant à soumettre à
l’autorisation préalable des autorités de protection toute demande d’un gouvernement
étranger de communication de données à caractère personnel45.
Côté Conseil, après deux ans de discussions au Conseil, le bilan de la négociation est négatif
dans la mesure où il n’a pas été possible d’aboutir à un accord même partiel et que neuf
réunions du DAPIX n’ont toujours pas permis d’aboutir à un accord s’agissant du « guichet
unique » alors que ce point semblait acquis à première vue…
Des doutes certains planent donc sur l’adoption de la proposition de règlement pour 2014 et
il est fort possible que la poursuite du trilogue après les élections aboutisse à une remise à
plat du paquet de réforme, et que le texte final adopté soit assez éloigné de l’ambition initiale.
Pourtant, les autorités européennes de protection des données à caractère personnel ont déjà
commencé à anticiper l’adoption de la proposition de règlement, tant le besoin de réforme ne
saurait se faire attendre. Ainsi la CNIL demande depuis septembre 2013 aux entreprises
désirant utiliser des dispositifs reposant sur la technologie RFID d’effectuer des études
d’impact et de les adresser six semaines avant la mise en œuvre du dispositif46.
Rappelons que l’adoption de la directive européenne relative à la protection des données
personnelles s’était heurtée dans les années 1990 à l’opposition à la fois des États membres,
de la Commission européenne et des entreprises. Les autorités de protection des données à
caractère personnel avaient alors menacé de bloquer les transferts de données à caractère
personnel entre États membres, en l’absence de règles harmonisées au niveau européen47 , ce
qui avait conduit, entre autres, à l’appel lors de la Conférence du Conseil de l'Europe et la
Commission des Communautés européennes à Luxembourg, les 27-28 mars 1990, à la
Voir l’annonce effectuée par Mme Najat Vallaud-Belkacem, ministre des droits des femmes, porte-parole du gouvernement, le
30 novembre 2013, lors des débats relatifs au renforcement de la lutte contre le système prostitutionnel annonçant l’adoption
d’un « habeas corpus numérique » pour 2014.
43 Conseil de l’Union européenne, Proposition de règlement du Parlement européen et du Conseil relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
(règlement général sur la protection des données) Évaluation de la décision de la Commission, du 26 juillet 2000,
conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée
par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiés par le ministère du
commerce des États Unis d'Amérique, 2012/0011 (COD), 13440/13 ,11 septembre 2013.
44 Convention n°108 du conseil de l’Europe pour la protection des personnes à l'égard du traitement automatisé des données à
caractère personnel du 28 janvier 1980.
45 Texte de compromis, article 43a.
46 CNIL, L’évaluation d’impact sur la vie privée pour les dispositifs RFID : questions-réponses, Article,
26 septembre 2013 : http://www.cnil.fr/linstitution/actualite/article/article/levaluation-dimpact-sur-la-vie-privee-pour-lesdispositifs-rfid-questions-reponses/
47 La CNIL avait ainsi interdit le transfert de données de la société Fiat France vers Fiat Italie, forçant la société FIAT à conclure
un contrat aux termes duquel Fiat Italie acceptait de traiter les données des salariés de Fiat France en accord avec la
règlementation française (Délibération n°89-78 du 11 juillet 1989). Par la suite, la CNIL devait également s’opposer au
transfert de données médicales contenues dans le registre du cancer par l’Institut Gustave Roussy à un organisme européen
ayant son siège à Bruxelles, la Belgique ne disposant pas de loi de protection des données à caractère personnel (Délibération
n°89-98 du 26 septembre 1989).
42
15
construction d’un cadre européen en matière de protection des données personnelles afin
d’éviter les blocages et protéger les libertés individuelles au sein du marché unique.
L’Histoire pourrait se répéter, les autorités de contrôle européennes montrant la voie aux
États membres par l’instauration de mécanismes ad hoc de coopération, à l’instar de ceux
mis en place pour l’adoption de Règles internes d’entreprise, d’actions et interprétations
communes.
16