Réforme du cadre européen de la protection des données à
Transcription
Réforme du cadre européen de la protection des données à
Cet article est paru initialement dans la Revue Lamy Droit de l’Immatériel de décembre 2013, n°99, 3303. Pour citer cet article :« Nathalie Metallinos & Nana Botchorichvili, Réforme du cadre européen de la protection des données à caractère personnel : où en est-on ?, RLDI, 201399, 3303. » Réforme du cadre européen de la protection des données à caractère personnel : où en est-on ? Nathalie Metallinos avocate, Bird & Bird, responsable de l’atelier « protection des données personnelles » de l’ADIJ Et Nana Botchorichvili, avocate, Bird & Bird. Avec l’adoption par la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) d’un texte de compromis le 21 octobre 20131 (ci-après « le Texte de compromis») portant sur la proposition de règlement publiée par la Commission le 25 janvier 2012 (ciaprès « la Proposition de règlement») fixant le futur cadre général européenne matière de protection des données à caractère personnel2 et remplaçant l’actuelle directive 95/46 de 19953, une étape importante vient d’être franchie dans le processus de réforme du cadre européen en matière de protection des données personnelles et de la vie privée annoncé par Vivianne Reding le 25 janvier 20124. En même temps que le vote de compromis sur la proposition de règlement, la Commission LIBE a voté un mandat de négociation permettant le début du trilogue entre le Parlement, le Conseil et la Commission. Si le vote de la Commission LIBE est salué par la CNIL comme « un signal politique puissant qui exprime une identité politique forte de l’Union européenne sur un sujet essentiel, tant sur le plan des valeurs que sur celui des enjeux économiques 5», une ombre plane sur l’issue de la réforme. En effet, les travaux du Conseil sont moins avancés que ceux du Parlement et aucun accord n’a pu être trouvé à ce jour, les positions des États membres manifestant des clivages importants. Le sommet des 24/25 octobre 2013 a confirmé la très forte opposition entre les États membres sur les objectifs et le calendrier de la réforme : ainsi, alors que la France et la Pologne soutiennent fermement le projet de réforme, un groupe de pays6, mené par le Royaume-Uni, plaide au contraire pour retarder l’adoption de la réforme et pour l’abandon du règlement en faveur d’une directive7. Une telle position est pourtant en contradiction avec Rapport du parlement européen du 22 novembre 2013 : « Report on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)”, COM(2012)0011 – C7-0025/2012 – 2012/0011(COD). 2 http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf 3 Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31. 4 Voir le paquet législatif sur http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm et également le mini site consacré à la réforme http://ec.europa.eu/justice/data-protection/minisite/. A titre de rappel le Paquet comprend deux volets : une proposition de Règlement fixant le cadre général et remplaçant l’actuelle directive de 1995 et une Directive s’appliquant aux traitements mis en œuvre à des fins de police et de coopération policière et judiciaire en matière pénale . 5 CNIL, « Règlement européen sur la protection des données : une étape décisive franchie par le Parlement européen », article, 23 octobre 2013, accessible sur : http://www.cnil.fr/linstitution/actualite/article/article/reglement-europeen-sur-laprotection-des-donnees-une-etape-decisive-franchie-par-le-parlemen/ 6 Dont la Hongrie, la République Tchèque et la Suède. 7 Cf. Jeremy Fleming, “Data protection: France, UK lead rival camps at summit”, Euractiv, 24 octobre 2013, accessible sur http://www.euractiv.com/specialreport-digital-single-mar/france-uk-lead-rival-data-camps-news-531283 1 1 l’un des objectifs essentiels de la réforme, celui d’une plus grande harmonisation des règles de protection des données à caractère personnel mettant fin à la fragmentation de régimes juridiques entre les États membres8. Les articles de presse commentant la réunion du Conseil des ministres des 24/25 octobre 2013 font état d’un possible report de la date d’adoption du paquet de réforme à 2015, soit après la fin de la législature actuelle du Parlement, au lieu d’une adoption pour le printemps 20149. Les commentateurs ont en effet relevé les différences entre le texte du projet de conclusions distribué avant la réunion10 se référant à une adoption « l’année prochaine » et le texte final lequel ne comporte plus la référence à l’objectif d’une adoption pour le 2014, mais à une adoption « rapide (…) d’ici 2015 »11. Un tel report pourrait avoir pour conséquence de reporter fin 2015, voire même au-delà, l’adoption du paquet de réforme dans la mesure où il pourrait entraîner un nouvel examen du paquet de réforme, et donc une remise à plat possible du texte dans son ensemble y compris sur les points de compromis dégagés par le vote de la Commission LIBE, et ce d’autant, qu’à ce jour, aucun accord véritable ne semble se dégager tant sur l’instrument (un règlement au lieu d’une directive), que sur les principales dispositions. Le sort du texte dépendra aussi des orientations de la Présidence de l’Union. Conscient des difficultés de ce calendrier, le rapporteur au Parlement européen sur la proposition de règlement, Yan Philip Albrecht, a annoncé son intention de soumettre le Texte de compromis à un vote en session plénière avant la fin de la législature actuelle, quel que soit l’état d’avancement des travaux du Conseil, et ce afin de figer le Texte de compromis du Parlement, dans l’espoir d’accélérer le trilogue. Si la nécessité d’une réforme du cadre européen en matière de protection des données à caractère personnel n’est pas remise en cause, la directive de 1995 ayant montré ses limites, tant s’agissant de la prise en compte des défis posés par les évolutions technologiques, que de l’insuffisance du niveau d’harmonisation des législations des états membres12, le texte qui serait adopté au final pourrait grandement différer de l’actuelle proposition de règlement, tant sur la forme (abandon du règlement au profit d’une directive), ou sur sa portée (règlement posant un certain nombre de principes mais renvoyant à des textes sectoriels). Le présent article n’entend pas analyser l’ensemble du paquet de réforme qui a déjà fait l’objet de nombreux commentaires13 mais de présenter les évolutions conceptuelles (I) et d’analyser les principaux points de controverse identifiés tant au regard du projet initial qu’à l’occasion de l’examen du texte par le Parlement et le Conseil (II). I – Les principales évolutions conceptuelles Des modifications substantielles ont été apportées par la commission LIBE du Parlement européen au texte initial présenté par la Commission. Ainsi 104 amendements ont été adoptés, reflétant les travaux des différents sous-comités. Si certains de ces amendements reprennent ceux introduits le 17 décembre 2012 dans le projet de rapport14 présenté par Yan Philip Albrecht (ci-après « le projet de rapport Albrecht »), de nombreuses propositions Protection de la vie privée dans un monde en réseau. Un cadre européen relatif à la protection des données, adapté aux défis du 21e siècle, Communication de la commission du 25 janvier 2012, COM(2012) 9 final, p.9. 9 Cf. Jeremy Fleming, “Data protection rules delayed at EU summit talks”, Euractiv , 25 octobre 2013 mis à jour le 31 octobre 2013, accessible sur : http://www.euractiv.com/specialreport-digital-single-mar/france-germany-form-anti-spy-pac-news531306 10 Conseil européen (24-25 octobre 2013), projet de conclusions, 12397/13, Bruxelles, 21 Octobre 2013, point 8, accessible sur : http://www.openeurope.org.uk/Content/Documents/Pdfs/131021EUCOdraft.pdf 11 Conseil européen (24-25 octobre 2013), conclusions, EUCO 169/13, Bruxelles, 25 Octobre 2013, n° 169/13, point 8, accessible sur : http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/139197.pdf 12 V. N. Métallinos, « L'évolution du droit européen en matière de protection des données à caractère personnel et sa pénétration dans les droits nationaux: principes fondateurs et instruments de régulation, L’Observateur de Bruxelles », 07/2013, n°93, pp8-17. 13 Voir dans la présente revue : F. Naftalski et G. Desgens-Pasanau, Projet de règlement européen sur la protection des données: ce qui va changer pour les professionnels, RLDI, 2012, 2693 ; E. Debiès, Impact futur règlement droits des personnes sphère sociale, RLDI, 2013, 3176 ; F. Banat-berger, Archives et protection des données personnelles, RLDI, 2013, 3177 ; F. Mattatia, Ce qui va changer pour la CNIL, RLDI, 2013, 3210 ; Christine Causse-Gabarrou, Les transferts internationaux de données à caractère personnel dans la proposition de Règlement du Parlement européen et du Conseil et compétitivité des entreprises : Perspectives d’amélioration, RLDI, 2013-98, n°3267. 14 Projet de rapport sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012)0011 – C7-0025/2012 – 2012/0011(COD). 8 2 figurant dans le projet de rapport Albrecht n’ont pas été reprises. Ce dernier comportait en effet 350 amendements. Il y a lieu toutefois de saluer le travail accompli par les parlementaires dans la mesure où le dépôt de plus de 4 000 amendements, dans un contexte très passionnel15, avait laissé craindre un enlisement complet du projet. Si le Texte de compromis présente un certain nombre d’avancées sur le plan conceptuel, notamment s’agissant de la modulation du champ d’application du règlement et de la définition des nouveaux droits, leur analyse révèle qu’un important travail de rédaction et de précision est encore nécessaire afin d’aboutir à une cohérence d’ensemble et à assoir leur acceptabilité par les différents acteurs, compte tenu de l’ambition d’aboutir à une approche unique pour toutes les parties concernées (principe dit du « one size fits all »). Au nombre des évolutions notables depuis le projet initial, celles ayant marqué la notion de pseudonymat des données (a), le concept et les usages du profilage (b), l’introduction puis l’abandon du concept d’éditeur de systèmes de traitements de données (c), le retrait du droit à l’oubli (c) et l’apparition d’une standardisation de l’information des personnes (e) méritent d’être examinées ici. a) La prise en compte des « données pseudonymes » Parmi les nouveaux concepts et notions introduits par les amendements issus du projet de rapport Albrecht, la notion de « pseudonyme » désignait « un identifiant unique qui est spécifique à un contexte donné et qui ne permet pas l’identification directe d’une personne physique mais permet de distinguer une personne concernée »16. Cette notion est finalement abandonnée dans le Texte de compromis au profit du nouveau concept de « données pseudonymes » définies comme « des données personnelles qui ne peuvent être attribuées à une personne en particulier, sans recours à des informations complémentaires, du moment que de telles informations complémentaires sont conservées séparément et font l’objet de mesures techniques et organisationnelles pour permettre leur non – attribution »17. Cette nouvelle catégorie de données devrait notamment couvrir le traitement des adresse IP ou cookies dont l’assujettissement aux dispositions du règlement est d’ailleurs expressément reconnu dans les considérants de la proposition de règlement. Par ailleurs, les « données pseudonymes » ne devront pas être confondues avec deux autres catégories de données pour lesquelles le Texte de compromis introduit des définitions : les « données anonymes » et les « données chiffrées » Selon le Texte de compromis, les « données anonymes » sont des « données personnelles collectées, altérées, ou traitées de quelque façon que ce soit, de manière à ne plus pouvoir être attribuées à une personne concernée » qui « ne doivent pas être considérées comme des données personnelles » 18 et sont donc exclues du champ d’application du Règlement. En ce qui concerne les « données chiffrées », il s’agit « de données personnelles qui par des mesures de protection technique sont rendues inintelligibles à toute personne qui n’est pas autorisée à y accéder » 19.. Le concept de « données pseudonymes » n’est pas totalement nouveau dans la mesure où le Projet de rapport Albrecht y faisait référence et reconnaissait la possibilité pour les responsables de traitement traitant des données pseudonymes de pouvoir bénéficier d’un Jamais un texte européen n’aura fait l’objet d’autant de lobbying ou déchainé tant de passion, à tel point qu’un attaché parlementaire, approché par les lobbyistes, a pu déposer 158 amendements défavorable au texte à l’insu de son député : V. l’information rapportée sur le site du Journal belge Le Soir le 21 novembre 2013 : http://www.lesoir.be/365541/article/actualite/monde/2013-11-21/collaborateur-louis-michel-remis-sa-demission et repris par le Monde : http://www.lemonde.fr/europe/article/2013/11/21/belgique-il-depose-158-amendements-a-l-insu-de-sondepute-et-demissionne_3518442_3214.html?xtmc=belgique&xtcr=2 . 16 Art.4 (2a). 17 Art.4 (2a). 18 Considérant (23). 19 Art. 4, (2b). 15 3 régime d’obligations allégé20. Dès lors, on aurait pu s’attendre à ce que l’introduction de cette nouvelle catégorie de données par le Texte de compromis s’accompagne de la définition d’un régime juridique différencié applicable aux « données pseudonymes ». Or, si à la lumière de la définition introduite par le Texte de compromis il apparaît que le traitement de « données pseudonymes » resterait soumis au respect des dispositions du Règlement, (dans la mesure où il s’agit de données personnelles), les conséquences juridiques et pratiques de l’apparition de ce nouveau concept s’agissant en particulier de l’allègement des obligations ne ressortent toutefois que de manière parcellaire des dispositions du Texte de compromis. Ainsi, l’article 10 de ce texte prévoit de façon quelque peu abstraite que lorsqu’un responsable de traitement ne peut se conformer à des dispositions du Règlement dans la mesure où il traite des « données pseudonymes », celui-ci n’a pas à respecter ces dispositions quelle qu’elles soient. L’allègement visé par cet article devrait principalement porter à notre sens sur les obligations relatives aux droits des personnes puisqu’il est également précisé qu’un responsable de traitement traitant des « données pseudonymes » (et n’étant donc pas en mesure d’identifier une personne) est dispensé d’avoir à obtenir des informations complémentaires lui permettant d’identifier la personne concernée aux seules fins de satisfaire aux obligations du Règlement. Bien que non mentionné explicitement, un autre avantage résulte des dispositions de l’article 20 et du considérant 58 du Texte de compromis aux termes desquels le profilage des individus à partir d’un traitement de « données pseudonymes » ne serait pas soumis au consentement préalable des personnes concernées. L’absence de mesures plus concrètes d’allègement n’est pas de nature à encourager les organismes à privilégier le traitement de « données pseudonymes ». À cet égard, la Commission LIBE aurait notamment pu s’inspirer des amendements votés par le Conseil proposant notamment l’absence d’obligation de notifier aux personnes concernées les failles de sécurité impliquant des données pseudonymes, ou encore la reconnaissance de l’intérêt légitime du responsable traitement - et donc l’absence d’obligation d’obtenir le consentement des personnes concernée - pour procéder à la pseudonymisation des données21. b) Les précisions apportées au concept de profilage L’encadrement des techniques dites de profilage est un élément central de la réforme. Ainsi, l'article 20 de la proposition de règlement présentée par la Commission a instauré le droit de la personne concernée de ne pas être soumise à une « mesure produisant des effets juridiques à son égard ou l’affectant de manière significative sur le seul fondement d’un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ». Le Texte de compromis de la Commission LIBE érige le profilage au rang de concept en introduisant une nouvelle définition à l’article (3a) et s’attache à préciser d’avantage les cas dans lesquels son utilisation est permise. Ainsi, à l’instar de ce qui est prévu par la directive 95/46 de 1995 pour la prise de décision automatisée, ce n’est pas le profilage en soi qui fait l’objet d’un encadrement particulier, mais lorsque son utilisation produit des effets juridiques ou affecte de manière significative les intérêts, droits et libertés des personnes concernées. 20 21 Rapport de la Commission des libertés civiles, de la justice et des affaires intérieures, p.65, 214 Propositions d’amendement concernant les Considérants (39) et (68a) :Conseil de l’Union européenne , Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) Questions essentielles concernant les chapitres I à IV, 31 mai 2013, p.31 4 Si tel est le cas, le recours au profilage n’est possible que dans trois cas : le profilage est prévu par la loi, il est nécessaire à la conclusion ou l’exécution d’un contrat (pour autant que la demande présentée par la personne concernée ait été satisfaite), ou enfin il repose sur le consentement de la personne concernée. Dans tous les cas, la mise en œuvre du profilage doit s’accompagner de mesures appropriées pour assurer la sauvegarde des droits et libertés des personnes et le profilage ne doit pas résulter en une discrimination fondée l’utilisation ou la production de données relatives à la race ou l’origine ethnique, les opinions politiques, religion ou croyances, l’appartenance syndicale, l’orientation ou l’identité sexuelles. En outre, les mesures de profilage ne peuvent reposer uniquement sur les catégories particulières de données listées à l’article 9, lesquelles incluent outre les données précédemment énumérées, les données relatives aux opinions philosophiques, les activités syndicales, les données génétiques ou biométriques, les données relatives à la santé ou la vie sexuelle, les sanctions administratives, jugements, infractions pénales ou suspicions, condamnations ou mesures de sécurité s’y rapportant. Par ailleurs, ce recours au profilage doit s’accompagner d’une intervention humaine, les décisions ou effets juridiques à l’égard d’une personne ne pouvant reposer seulement ou de manière prépondérante sur le profilage et la personne concernée doit se voir expliquer toute décision prise sur la base du profilage. L’accent est donc mis sur le risque de discrimination illégitime résultant de l’utilisation de mesures de profilage, ainsi que sur la nécessité de prévoir une intervention humaine et assurer la transparence de l’utilisation du profilage vis-à-vis de l’intéressé. Toutefois, la nouvelle rédaction de l’article 20 apparaît très laborieuse et est loin d’être claire, notamment s’agissant de l’utilisation du profilage dans le cadre de la conclusion ou l’exécution de contrats ou de la distinction opérée entre l’interdiction de l’usage à des fins de discrimination de seulement certaines données appartenant aux catégories particulières de l’article 9, et non de toutes (sans compter le manque d’harmonisation du texte de l’article 20 listant les données interdites et de l’article 9). c) L’abandon de la référence au « droit à l’oubli » au profit du « droit à l’effacement » À côté du droit de suppression et du droit d’opposition existant déjà dans le cadre actuel, l’article 17 de la proposition de Règlement avait consacré un « droit à l’oubli et à l’effacement » des données, visant à prendre en compte la dissémination des données sur internet et plus particulièrement au travers des réseaux sociaux. Ce « droit à l’oubli » numérique qui a suscité de nombreux débats, en raison notamment des difficultés liées à sa réalisation technique dans un environnement ouvert pouvant donner lieu à une republication incessante des données22 ou encore dans le contexte de la dissémination du stockage des données par l’informatique en nuage (cloud computing), ne figure plus dans le Texte de compromis. En effet, l’article 17 est désormais intitulé, «droit à l’effacement » uniquement. Cependant, il n’est pas certain que cette mise à l’écart du droit à l’oubli par le Texte de compromis ait pour conséquence d’amoindrir le contenu des dispositions qu’il visait sur le fond. D’une part, le passage du « droit à l’oubli » au seul « droit à l’effacement » des données semble d’avantage relever de l’ordre terminologique pour tenir compte de l’impossibilité technique de pouvoir assurer en pratique un « véritable » droit à l’oubli. D’autre part, le Texte de compromis introduit le droit pour les personnes d’obtenir directement des tiers l’effacement de leurs données et non seulement du responsable de traitement comme prévu par le texte initial de la Proposition de règlement, ce qui apparaît sans nul doute comme un renforcement de ce droit. 22 ENISA, “The right to be forgotten : between expectations and practice”, November 2012, p.10, disponible à l’adresse suivante : http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/the-right-to-be-forgotten 5 Par ailleurs, dans le cas où des données personnelles auront été rendues publiques en l’absence de fondement juridique, le responsable de la publication de ces données aurait l’obligation le cas échéant de veiller à ce que ces données soient effacées par le tiers, alors que texte initial prévoit seulement une information des tiers sur la demande d’effacement des personnes dans ce cas. Reste à savoir dans quelle mesure ces dispositions qui restent très spécifiques aux acteurs de l’Internet pourront être mises en œuvre en pratique. d) La non-reprise du concept d’ « éditeur de systèmes de traitement automatisé de données ou de fichiers de données» en tant qu’acteur du privacy by design/default Le projet de rapport Albrecht avait introduit, aux côtés des responsables de traitement et sous-traitants, un nouvel acteur dans le paysage de la protection des données à caractère personnel redevable d’obligations au regard de l’application de la législation. L’article 6bis du projet de rapport définissait ainsi l’ « Éditeur » comme: « une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui crée des systèmes de traitement automatisé de données ou des fichiers de données destinés au traitement des données à caractère personnel par les responsables du traitement des données et les soustraitants»23. L’Éditeur désignait ainsi le concepteur des systèmes permettant le traitement de données à caractère personnel, comme par exemple un éditeur de solutions logicielles ou encore de dispositifs de collecte de données (par exemple, un fabriquant de drones). L’éditeur devait être, au même titre que le Responsable de traitement ou le Sous-traitant, responsable des obligations relatives à la protection de la vie privée par défaut (Privacy by default) ou dès la conception (Privacy by design), et ce, même s’il ne procédait pas lui-même au traitement de données à caractère personnel. Bien que le rôle de l’Éditeur n’ait pas été pleinement défini, l’extension du champ d’application de la réglementation aux « fabricants de technologies » marquait un pas vers la responsabilisation de ces acteurs et aurait pu constituer une action concrète permettant d’alléger la charge des PME-TPE qui restent seules responsable de l’usage des technologies, sans pour autant en maîtriser la conception ou, même avoir simplement le choix de ne pas l’utiliser. Si l’obligation pour l’Éditeur d’intégrer le Privacy by design ou by default de manière systématique, sans prise en compte des caractéristiques du système ou de son usage, peut paraitre excessif, et que là encore, il serait important de définir des cas où la règle est impérative, et d’autres où elle est facultative et où elle s’accompagne de mesures incitatives, le maintien du concept aurait pu présenter un aspect stratégique s’agissant de la promotion de labels européens portant sur des produits ou applications et rendre économiquement viable l’émergence d’un marché de systèmes intégrant le Privacy by design ou by default. e) L’apparition d’une standardisation de l’information des personnes L’obligation pour le responsable de traitement d’informer les personnes concernées des modalités de traitement de leurs données « sous une forme intelligible et en des termes clairs et simples »24 est complétée dans le Texte de compromis, par la nécessité de fournir cette information sous format d’icônes tout en réservant à la Commission européenne le pouvoir de définir leur contenu par la voie d’actes délégués25. Cette nouvelle forme d’information des personnes par une standardisation des éléments d’information vise à remédier à la complexité des documents d’information sur les conditions de traitement des données personnelles (publiés par un site Internet ou un éditeur d’application mobile par exemple), afin de permettre aux personnes concernées de saisir en « un coup d’œil » les conditions de traitement de leurs données26. Projet de rapport Albrecht, art.6 bis. Rapport de la Commission des libertés civiles, de la justice et des affaires intérieures, p.82 25 Idem. 26 Rapport de la Commission des libertés civiles, de la justice et des affaires intérieures, p.83 23 24 6 Le Texte de compromis va encore plus loin dans cette démarche de standardisation de l’information des personnes. En effet, il introduit dans la proposition de Règlement un ensemble d’icônes qui devra être présenté par le responsable de traitement aux personnes concernées au moment de la collecte de leurs données sous la forme reproduite ci-après (en anglais). Ainsi, les icônes doivent faire apparaître si oui ou non des données personnelles (i) sont collectées au-delà de ce qui est nécessaire au regard de la finalité du traitement, (ii) sont conservées pour une durée supérieure à ce qui est nécessaire, (iii) sont traitées pour des finalités autres que celles pour lesquelles elles sont collectées, (iv) sont « disséminées » auprès de partenaires commerciaux, (v) sont vendues ou louées et (vi) font l’objet de mesures de chiffrement. Cette information standard devra dans un second temps être complétée par une notice d’information détaillée comprenant les éléments d’information déjà prévus à ce titre par la directive 95/46 de 1995 en y ajoutant la mention des mesures de sécurité mises en œuvre, la durée de conservation des données, ou encore le recours au profilage des personnes notamment. L’apparition d’une standardisation de l’information des personnes par l’utilisation d’une iconographie dédiée constitue un élément positif qui devrait permettre aux personnes concernées de gagner en lisibilité s’agissant du traitement de leurs données. Néanmoins, les modalités selon lesquelles le Texte de compromis envisage de mettre en œuvre le dispositif suscitent quelques réserves. D’une part, l’introduction d’une iconographie non modulable dans le texte même du Règlement est contestable en ce qu’elle crée une obligation générale applicable à tout responsable de traitement sans tenir compte de la pertinence ou non de fournir une telle information pour tout traitement de données. Le recours à des actes délégués de la Commission européenne pour définir le contenu de ces icônes en fonction de certains secteurs d’activité ou de certains traitements par exemple semble plus approprié à ce titre. 7 D’autre part, les éléments d’information/icônes choisis (au demeurant très orientés vers la collecte de données sur Internet et dont la conformité avec les trois premiers constitue en tout état de cause une exigence légale), sont réducteurs au regard des caractéristiques et enjeux qu’un traitement de données peut présenter. Il aurait notamment été opportun d’informer les personnes à ce stade sur des éléments d’ordre plus général tels que l’existence ou non de mesures de profilage, le traitement de données sensibles ou encore du transfert de données hors de l’Union européenne. Ainsi, le modèle d’information imposé par le Texte de compromis crée le risque de ne pas être adapté voire même inapproprié dans de nombreux cas (il semble par exemple « hors propos » pour un employeur de devoir informer ses salariés sur le fait que leurs données ne sont pas « disséminées » auprès de partenaires commerciaux et qu’elles ne sont pas vendues ni louées). Ceci pourrait aboutir à des situations dans lesquelles les personnes ne seraient pas informées de manière adéquate, mettant ainsi à l’épreuve l’obligation de collecte loyale des données. D’un point de vue pratique, la fourniture d’une information à double niveau au stade de la collecte des données, dont la mise en œuvre constituera une charge importante pour le responsable de traitement risque aussi finalement d’être source de complexité pour les personnes concernées. En définitive, il semblerait que la solution choisie par le Parlement puisse conduire à vider de sa substance l’objectif premier visé par la standardisation à savoir la simplification et l’amélioration de la qualité de l’information des personnes. À côté des évolutions conceptuelles, qui dénotent comme il vient d’être examiné, que plusieurs points méritent encore d’être approfondis, plusieurs éléments constituant la clé de voute de la réforme de la directive 95/46 de 1995 font également l’objet de controverse ou suscitent de d’importantes interrogations. II - Les éléments de controverse et difficultés tenant aux mesures phares du projet de réforme De nombreux points de controverse ont pu émerger dès la présentation du projet initial du texte de règlement en janvier 2012 par la Commission européenne dont les différents acteurs concernés –autorités de protection des données, acteurs économiques États membres– ont successivement pu se faire l’écho dans diverses instances officielles. Les éléments qui font encore l’objet de vifs débats aujourd’hui portent notamment sur la nature de l’instrument choisi, le champ d’application extensif, l’importance donnée au consentement des personnes pour légitimer un traitement de données, le renforcement des obligations pesant sur les responsables de traitement ou encore le durcissement notoire des sanctions notamment financières. Certaines de ces controverses ont pu encore être accentuées au cours des travaux du Parlement lors de la présentation du projet de rapport Albrecht mais aussi lors des travaux menés au sein du Conseil dont l’état d’avancement des négociations témoigne de nombreux points de blocage, reflet de ces controverses. L’adoption par la Commission LIBE du Texte de compromis ne devrait pas permettre d’y remédier. Sans prétendre à l’exhaustivité, les éléments de controverses analysés ici porteront sur les interrogations que suscite le champ d’application extraterritorial du règlement (a) la mise en place d’un système de guichet unique (b) et les difficultés tenant à l’identification des traitements à risque (c). a) La question de l’effectivité de l’extraterritorialité du champ d’application Le texte proposé par la Commission prévoit que le règlement s’appliquera aux traitements de données à caractère personnel mis en œuvre par des responsable de traitements ou des soustraitants dès lors qu’ils sont établis dans l’Union européenne mais aussi aux responsables de traitement établis en dehors de l’Union européenne lorsque les traitements de données qu’ils mettent en œuvre sont liés à « l’offre de biens ou services » ou « à l’observation du 8 comportement » de personnes résidant au sein de l’Union européenne27. Dans ce cas, le responsable de traitement est tenu de désigner un représentant dans l’Union étant précisé que des exemptions à cette l’obligation de désignation sont également prévues28. Les amendements votés par la Commission LIBE apportent des précisions à ces dispositions et étendent plus avant le champ d’application du Règlement. Ainsi, il est précisé que le l’application du Règlement aux responsables de traitements ou aux sous-traitants établis dans l’Union européenne vaut quel que soit le lieu du traitement des données (c’est à dire dans l’Union européenne ou en dehors de celle-ci). Surtout, l’application du Règlement est étendue aux sous-traitants établis en dehors de l’Union européenne selon les mêmes critères de rattachement que ceux fixés pour le responsable de traitement hors de l’Union européenne (l’on notera cependant qu’une d’obligation de désigner un représentant n’est pas prévue dans ce cas). Ces critères de rattachement sont d’ailleurs quelque peu redéfinis puisque la notion de « résidence » au sein de l’Union européenne pour les personnes dont les données seront traitées disparaît de même que la notion de « comportement » s’agissant de l’ «observation » des personnes au sein de l’Union européenne. Il est par ailleurs indiqué qu’il s’agit de « l’offre de biens et de services » soumis ou non à un paiement. L’objectif de ces dispositions tant au regard du texte initial que des amendements issus du Texte de compromis est manifestement de permettre l’application de la règlementation européenne aux multinationales situées en dehors de l’Union européenne et qui traitent des données personnelles sur des personnes dans l’Union, visant en particulier les entreprises proposant des services en ligne (le plus souvent à titre gratuit) ou encore les prestataires de services d’hébergement données reposant sur des solutions de Cloud computing. Au-delà des difficultés d’interprétation que ces dispositions soulèvent pour pouvoir déterminer si le Règlement est applicable à des entreprises situées en dehors de l’Union européenne, notamment pour savoir à quel moment l’« offre de biens et services » est caractérisée (par sa simple disponibilité dans l’Union ou lorsque la personne y a souscrit ?), s’il convient également d’inclure dans ce champ les personnes qui seraient de passage dans l’Union européenne, (le critère de la « résidence » dans l’UE étant écarté par la Commission LIBE), ou encore ce que recouvre la notion « d’observation » des personnes (création de profils et/ou analyse du comportement des personnes ?), c’est l’application effective du Règlement à des entités situées en dehors de l’Union européenne qui suscite des interrogations. En effet, si l’idée de s’assurer que les données collectées sur des personnes au sein de l’Union européenne seront traitées en conformité avec la réglementation européenne pour notamment permettre aux personnes concernées d’exercer les droits dont ils disposent à ce titre est louable, encore faut-il que des mécanismes de mise en œuvre effective de ces règles soient prévus. Plus concrètement, comment pourra-t-on contrôler qu’une société située en dehors de l’Union européenne qui propose des biens et services à des personnes dans l’UE respecte effectivement les dispositions du Règlement et surtout assurer l’exécution de sanctions notamment pécuniaires pouvant être prononcées par une autorité de contrôle des données ou une juridiction à l’encontre de sociétés sans aucune présence physique ni avoirs sur le territoire de l’Union ? Il est vrai que l’article 25 de la proposition de Règlement vise en partie à répondre à ces préoccupations puisqu’il prévoit l’obligation pour un responsable de traitement établi hors de l’Union européenne (mais non pour un sous-traitant selon les amendements de la Commission LIBE) de désigner un représentant dans l’Union tenu de remplir les obligations du responsable de traitement qu’il représente et de supporter les sanctions qui pourraient être prononcées à son encontre. Toutefois, s’agissant d’un représentant, il n’est pas certain que celui-ci présente les garanties de solvabilité nécessaires en cas de sanction pécuniaire. À cet égard, il aurait été utile de prévoir que la désignation d’un représentant s’accompagne de l’obligation pour celui-ci de justifier de ressources financières suffisantes auprès de l’autorité 27 28 Article 3 de la proposition de Règlement Article 25 de la proposition de Règlement 9 de contrôle des données de l’État membre où le représentant serait établi (en s’inspirant du mécanisme existant pour les Règles d’Entreprise Contraignantes - BCR) ou de constituer une garantie financière adéquate auprès d’un établissement bancaire situé dans l’Union européenne. En tout état de cause, de nombreuses incertitudes demeurent quant à la mise en œuvre effective des dispositions du Règlement aux situations dans lesquelles un représentant dans l’Union européenne n’aura pas été désigné - soit en raison d’une exemption à l’obligation de désignation, soit quand un responsable de traitement omet de le faire (la suppression par le Texte de compromis des pénalités qui seraient applicables dans ce cas n’est pas de nature à l’en dissuader) –ou lorsqu’un responsable de traitement hors de l’Union européenne est directement mis en cause comme la proposition de Règlement le prévoit29 (le Texte de compromis voté par la Commission LIBE propose toutefois d’abandonner cette possibilité). Ainsi, la protection des personnes recherchée par ces dispositions à la portée extraterritoriale pourrait ne rester que virtuelle si les modalités permettant leur application effective ne sont pas définies. Des préoccupations en ce sens ont notamment été exprimées par l’autorité de contrôle britannique (Information Commissioner’s Office -ICO) qui considère que le Règlement ne devrait pas conduire les consommateurs européens à croire qu’ils disposent d’un degré de protection que ce texte ne peut en réalité leur offrir, en l’absence de mécanismes d’exécution transfrontaliers effectifs30. b) Le système de « guichet unique » Le système de « guichet unique » associé au mécanisme de cohérence est l’un des piliers de la Proposition de règlement de la Commission européenne. Le mécanisme du « guichet unique » ou « one-stop-shop » tel qu’il figure dans la Proposition de règlement pose de principe d’une seule autorité de contrôle chargée de surveiller les activités d’un même responsable du traitement et de prendre les décisions en conséquence, pour les entreprises exerçant leurs activités dans plusieurs États membres. La Proposition prévoit que l'autorité agissant en tant que tel ne devrait être l'autorité de contrôle de l'État membre dans lequel le responsable de traitement ou le sous-traitant a son établissement principal. Le système du « guichet unique » repose sur le postulat que l’identification d’une seule autorité de contrôle permettrait d’aboutir à une décision à la fois rapide et cohérente, tout en assurant la sécurité juridique et la réduction des charges administratives pour les entreprises. Le mécanisme de « guichet unique » ne se conçoit que grâce au mécanisme de contrôle de cohérence encadrant la coopération entre les différentes autorités de contrôle imposant la saisine du Comité européen de protection des données (CEPD), pour les traitements transnationaux (offre de biens ou services à des personnes se trouvant dans plusieurs États membres, ou à l’observation de ces personnes, ou qui sont susceptible d’affecter considérablement la libre circulation de données à caractère personnel) 31. Le système du « guichet unique » a fait l’objet de vives discussions dans le cadre du groupe « Échange d'informations et protection des données (DAPIX) »32. Si le Conseil a néanmoins exprimé son soutien pour l’application d’un tel principe aux traitements « transnationaux » prenant notamment en considération le fait qu’une telle mesure est de nature à favoriser le développement des échanges au sein de l’Union européenne, contribuant ainsi à la croissance 29 Article 78 de la proposition de Règlement. 30 « Information Commissioner’s Office : initial analysis of the European Commission’s proposals for a revised data protection legislative framework », p5, accessible à l’adresse suivante : http://www.ico.org.uk/~/media/documents/library/Data_Protection/Research_and_reports/ico_initial_analysis_of_revised_ eu_dp_legislative_proposals.ashx 31 Commission, Proposition de règlement, considérant 105. 32 Conseil de l’Union européenne, Règlement général sur la protection des données - Le mécanisme du guichet unique, 2012/011 (COD), 18 septembre 2013, 13643/13. 10 de l'économie numérique, aucun accord ne semble émerger s’agissant des modalités de fonctionnement du « guichet unique »33. Une majorité d'États membres semblent favorables à la recherche d’un modèle reposant sur une décision unique prise par l’autorité de contrôle du « principal établissement » avec une compétence exclusive limitée à l’exercice de certaines compétences seulement, tels que des pouvoirs d'autorisation et de consultation, de telle sorte notamment qu’elle n’affecte pas celle des autorités de contrôles pour les traitements limitées à un seul État membre ou ne fasse pas obstacle à leur saisine par les personnes concernées d’une autre autorité de contrôle que celle du « guichet unique ». Certains États membres semblent avoir exprimé leur préférence pour le mécanisme de coopération, transformant l’autorité unique du « guichet unique » en « autorité chef de file » chargée de la coordination entre les différentes autorités de contrôle concernées, mais ne disposant pas du pouvoir de prendre des décisions s’imposant aux autres autorités. Plusieurs solutions alternatives ont été envisagées, comme celle consistant à renforcer l’implication du Comité européen de protection des données, soit en amont de la décision, soit en aval. La désignation d’une autorité « chef de file » au lieu et place du « guichet unique » a également les faveurs de la Commission LIBE34 , le Texte de compromis instaurant une prise de décisions étant élaborée sur le mode consensuel, même si en définitive l’autorité « chef de file » dispose seule du pouvoir de décider le CEPD pouvant être saisie en vue de la désignation de l’autorité « chef de file », notamment en cas de désaccord entre autorités. La solution de la substitution d’une autorité « chef de file » à une autorité unique paraît séduisante en ce qu’elle est plus respectueuse de la compétence respective des autorités et qu’elle préserve du risque de « forum shopping ». Toutefois, elle présente un risque important de blocage en cas de désaccord entre les autorités, le recours au CEDP pouvant s’avérer très lourd et pas toujours efficace, dans la mesure où il ne dispose pas de pouvoir de décision. Aussi, la délégation française auprès du Conseil a présenté une autre variante possible par rapport à la Proposition de la Commission reposant sur un processus de codécision. Au lieu de concentrer certains pouvoirs décisionnels entre les mains de la seule autorité de contrôle de l'État membre de l'établissement principal, la délégation française a proposé de permettre aux autorités de contrôle de tous les États membres concernés de décider des mesures à prendre à l'égard d'un responsable du traitement qui effectue des opérations dans ces États membres. L'autorité de l'établissement principal resterait l'interlocuteur unique d'une entreprise ayant des établissements dans différents États membres, mais elle ne serait pas investie d'une compétence exclusive pour prendre certaines décisions, puisque les décisions seraient prises par toutes les autorités de contrôle concernées dans le cadre d'un modèle de codécision, à l’issue d’étapes et de règles de procédure à respecter par les autorités de contrôle pour parvenir à une décision commune35. Toutefois, quelle que soit la solution retenue, de réelles difficultés de mise en œuvre sont susceptibles de remettre en cause l’effectivité du mécanisme. En effet, les juridictions des États membres saisies par les responsables de traitement, les sous-traitants ou les personnes concernées peuvent prendre des décisions différentes de celles adoptées à l’issue du mécanisme de « guichet unique ». Par ailleurs, il est rare que l’examen de la licéité d’un traitement, fut-il transnational, ne donne pas lieu à l’application concurrente d’autres dispositions législatives et réglementaires nationales, comme les exigences de la loi bancaire en matière de secret professionnel, la limitation des traitements du numéro de sécurité sociale issues du code de la sécurité sociale ou l’exigence d’un agrément des hébergeurs de Conseil de l’Union européenne ,Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)- Le mécanisme du guichet unique, 2012/0011 (COD), 14260/13, 3 octobre 2013. 34 Texte de compromis, article 54a. 35 Conseil de l’Union européenne, Note des autorités françaises sur la proposition de règlement « Protection des données » Mécanisme du guichet unique: Propositions de rédactions alternatives, 2012/0011 (COD), 13808/13, 19 septembre 2013. 33 11 données de santé en France prévu par le code de la santé publique, pour ne citer quelques exemples. Une interprétation cohérente et harmonisée des règles de protection des données à caractère personnel telles qu’elles résulteront du Règlement ne pourront écarter totalement les spécificités tenant au droit local et il serait périlleux pour une autorité de contrôle étrangère de statuer sur des traitements en méconnaissance de telles dispositions. Les autorités de contrôles de tous les États membres concernés par le traitement devront donc être associées, d’une manière ou d’une autre à la prise de décision concernant un traitement, tout au moins sur ses modalités concrètes de mise en œuvre, lesquelles nécessiteront un dialogue avec chaque autorité, lequel pourra intervenir soit avant la prise de décision fondée sur le règlement, ou en aval, ce qui suppose que la décision rendue par l’ autorité « chef de file » identifie les points devant faire l’objet d’une adaptation par le responsable de traitement ou le sous-traitant. c) Les difficultés tenant à l’identification des traitements « à risques » L’idée d’une modulation des obligations incombant aux responsables de traitement en fonction de la dangerosité présentée par le traitement est en filigrane des discussions autour de la réforme, avec pour enjeu de permettre, d’une part, l’allègement des formalités, et, d’autre part, la modulation des exigences requises lors du traitement de données à caractère personnel. Pourtant, la Proposition de règlement présentée par la Commission en 2012 présente un caractère très prescriptif des obligations des responsables de traitement, les obligations des responsable de traitement s’appliquant pour beaucoup de manière indifférenciée à tous les traitements (tenue de la documentation prévues, mesures de sécurité, application des règles du Privacy by design/ by default prévues aux articles 22 et 23) ou sur la base de critères jugés peu pertinents (seuil de 250 personnes pour la désignation d’un délégué ou au suivi « régulier et systématique des personnes » à l’article 35) ou trop vagues (référence aux traitements « à grande échelle » ou de « grande ampleur » pour l’obligation de réaliser une étude d’impact à l’article 33). Le texte initial renvoie par ailleurs à des listes établies par chaque autorité de protection des données, ce qui pouvait augurer d’une liste consistant en l’accumulation de toutes les situations identifiées séparément par chaque autorité sous l’empire de la directive 95/46 de 1995, une telle liste s’ajoutant aux cas identifiés dans l’article 33 de la proposition de règlement, à savoir le profilage des personnes, le traitement de données relevant des catégories particulières de données (vie sexuelle, santé, recherches épidémiologiques ou études relatives à des maladies mentales et infectieuses), de données concernant des enfants ou de données génétiques ou biométriques ou la surveillance de lieux publics. Les travaux du Parlement et du Conseil ont tous deux tenté de définir et préciser d’avantage les critères permettant d’identifier les traitements « à risques ». La nécessité de centrer la définition des obligations et responsabilités des responsables de traitement et sous-traitants sur une approche par les risques a constitué un point fort du Compromis adopté le Conseil le 31 mai 201336 qui aborde la question d’une manière se voulant pragmatique, tenant d’avantage compte des souhaits exprimés par le monde de l’entreprise. Le Conseil estime ainsi que les mesures mises à la charge des responsables de traitement doivent tenir compte non seulement de la nature, la portée, du contexte et des finalités du traitement, mais aussi des risques pour les droits et libertés des personnes concernées. Le Conseil a ainsi introduit un nouveau considérant (3bis) à la proposition de règlement, énonçant que « le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe 36 Conseil de l’Union Européenne, Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) - Questions essentielles concernant les chapitres I à IV, 2012/0011 (COD), 1022713, 31 mai 013. 12 de proportionnalité» 37, soulignant l'importance des autres droits fondamentaux concurrents, notamment la liberté d’entreprise38. Plusieurs critères ont été avancés par le Conseil pour permettre l’identification des traitements « à risques », tout en tenant compte de la probabilité de leur survenance et de leur gravité, à savoir : - Les effets produits par les traitements sur les personnes (discrimination, usurpation d'identité, fraude , perte financière, atteinte à la réputation, perte de confidentialité des données protégé par le secret professionnel, ou autre conséquence économique significative ou désavantage social, privation de droits et libertés, perte de contrôle sur les données personnelles, révélation de données aux catégories de données particulières identifiées à l’article 9), - La finalité (profilage), La vulnérabilité des personnes concernées (mineurs), La portée du traitement (quantité de données à caractère personnel, nombre de personnes concernées). Ces critères étant destinés à permettre d’identifier les cas où des exigences particulières doivent s’appliquer, notamment la conduite d’étude d’impacts. Le Texte de compromis de la Commission LIBE, complète le projet de rapport Albrecht qui ne comportait pas d’avancées significatives39 et reprend assez fidèlement l’idée développée par le Conseil d’une modulation accrue en fonction de critères préétablis. Il introduit un nouvel article 32a relatif à la conduite d’une analyse de risque, dont le résultat dicterait les actions et obligations à mettre en œuvre, comme la désignation d’un représentant pour les responsable de traitement non établis dans l’Union européenne, la désignation d’un délégué à la protection des données à caractère personnel, ou encore la conduite d’une étude d’impact considérée comme le « noyau essentiel de toute cadre durable de protection des données à caractère personnel»40. Le résultat de l’étude d’impact devant conduire en cas de risques graves identifiés à la consultation préalable du délégué à la protection des données à caractère personnel ou, à défaut, de l’autorité de contrôle compétente. Les opérations identifiées comme susceptibles de présenter des risques particuliers et les obligations correspondantes sont présentées dans le tableau ci-dessous. Conseil de l’Union Européenne, Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), 21 juin 2013, p3. 38 Ibid. 39 Le projet de rapport Albrecht n’a introduit à cet égard que très peu de modifications aux dispositions prévues initialement s’agissant des obligations prévues aux articles 22 et 23, si ce n’est l’idée que l’appréciation du risque peut aussi résulter d’une appréciation du nombre de personnes pouvant accéder aux données ou du volume de données traitées ou combinées entre elles (amendement 209) . Le projet de rapport est plus innovant s’agissant du seuil à partir duquel un délégué à la protection des données à caractère personnel doit être désignée, le rapporteur considérant que ce seuil doit être déterminé non pas selon la taille de l’entreprise, mais plutôt sur l’importance du traitement, déterminé à partir des catégories de données traitées, du type de traitement et du nombre de personnes concernée. Il est ainsi prévu que la désignation d’un délégué à la protection des données sera obligatoire dès lors que les traitements mis en œuvre par le responsable de traitement ou le sous-traitant concernent « plus de 500 personnes par an (amendement 223) , ou que l’activité principale du responsable de traitement ou du sous-traitant consiste dans le profilage des personnes ou le traitement des données particulières visées à l’article 9. 40 Texte de compromis, nouveau considérant (71a) (traduction libre des auteurs). 37 13 Critères déterminé à l’article 32a du Texte de compromis Désignation d’un représentant (*) Étude d’impact Désignation d’un délégué Traitement de données personnelles relatives à plus de 5000 personnes pendant une période de 12 mois consécutifs Traitement de catégories particulières de données (article 9(1)) de données de localisation ou de données relatives à des enfants ou des employés dans des systèmes d’information « à grande échelle » Adoption de mesures « reposant sur le profilage produisant des effets juridiques à l’égard des individus ou les affectant de manière significative » Traitement des données à caractère personnel à des fins de soins, de recherches épidémiologiques, ou d’études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées en vue de prendre des mesures ou des décisions concernant des individus spécifiques « sur une grande échelle » Suivi automatisé des zones accessibles au public sur une grande échelle Violation de données à caractère personnel susceptible de porter atteinte à la protection des données personnelles, la vie privée, les droits ou les intérêts légitimes des personnes concernées Activités de base du responsable de traitement ou du sous-traitant portant sur des opérations de traitement qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent une surveillance régulière et systématique des personnes concernées Données personnelles rendues accessibles à un nombre de personnes qu’il n’est pas possible de considérer pouvant être étant limité Consultation préalable les opérations de traitement pour lesquels l’étude d’impact indique qu’ils présentent un risque élevé ou spécifique en raison de leur nature, leur portée ou leur finalité ou Aucune action spécifique n’est identifiée le traitement figure sur la liste de traitements identifiés comme « à risques » établie par le Comité européen de protection des données (*) Pour les responsables de traitement situés en dehors de l’Union européenne Si l’on pouvait s’attendre à ce que l’exercice consistant à définir des critères, technologiquement neutres, destinés à permettre de qualifier le risque présenté par le traitement de données à caractère personnel ne soit pas simple, il n’en reste pas moins que le résultat dénote une grande complexité à laquelle les responsables de traitements devront faire face pour déterminer les obligations qui leurs sont applicables. Certes, les traitements qui ne répondront pas aux critères listés ci-dessus pourront être mis en œuvre à moindre formalisme41. Toutefois, les responsables de traitement, et le cas échéant les sous-traitants, devront assumer pleinement les erreurs de qualification, contrepartie de l’allègement des formalités, ce qui constitue pour les responsable de traitement français un changement de paradigme, tant l’accent reste-il encore mis en France sur l’accomplissement des formalités, qu’il s’agisse des déclarations auprès de la CNIL ou de la tenue du registre du Correspondant Informatique et Libertés. 41 Sauf en ce qui concerne la tenue de la documentation prévue à l’article 28, laquelle est maintenue, sans considération du risque présenté par le traitement. 14 III - Orientations et perspectives Le processus d’examen de la proposition de règlement est source d’importantes crispations et incertitudes tenant tant aux difficultés de la négociation en elle-même, compte tenu de la complexité d’un sujet aux abords très techniques, que de l’importance du lobbying, ainsi que des éléments de contexte tant européen qu’international. Le sujet est par ailleurs éminemment politique, étant constamment relayé par les médias, le gouvernement ayant par ailleurs annoncé la mise en place d’un « habeus corpus numérique »42 . Il s’impacte de plus avec les activités de négociation entre l’Union européenne et les États-Unis43, les révélations relatives au système de surveillance américain Prism, ainsi que la renégociation de la convention n°108 du conseil de l’Europe44. Ce contexte a notamment entraîné la réintroduction par la Commission LIBE dans le Texte de compromis de la clause « anti espionnage » ou « anti Fisa clause » visant à soumettre à l’autorisation préalable des autorités de protection toute demande d’un gouvernement étranger de communication de données à caractère personnel45. Côté Conseil, après deux ans de discussions au Conseil, le bilan de la négociation est négatif dans la mesure où il n’a pas été possible d’aboutir à un accord même partiel et que neuf réunions du DAPIX n’ont toujours pas permis d’aboutir à un accord s’agissant du « guichet unique » alors que ce point semblait acquis à première vue… Des doutes certains planent donc sur l’adoption de la proposition de règlement pour 2014 et il est fort possible que la poursuite du trilogue après les élections aboutisse à une remise à plat du paquet de réforme, et que le texte final adopté soit assez éloigné de l’ambition initiale. Pourtant, les autorités européennes de protection des données à caractère personnel ont déjà commencé à anticiper l’adoption de la proposition de règlement, tant le besoin de réforme ne saurait se faire attendre. Ainsi la CNIL demande depuis septembre 2013 aux entreprises désirant utiliser des dispositifs reposant sur la technologie RFID d’effectuer des études d’impact et de les adresser six semaines avant la mise en œuvre du dispositif46. Rappelons que l’adoption de la directive européenne relative à la protection des données personnelles s’était heurtée dans les années 1990 à l’opposition à la fois des États membres, de la Commission européenne et des entreprises. Les autorités de protection des données à caractère personnel avaient alors menacé de bloquer les transferts de données à caractère personnel entre États membres, en l’absence de règles harmonisées au niveau européen47 , ce qui avait conduit, entre autres, à l’appel lors de la Conférence du Conseil de l'Europe et la Commission des Communautés européennes à Luxembourg, les 27-28 mars 1990, à la Voir l’annonce effectuée par Mme Najat Vallaud-Belkacem, ministre des droits des femmes, porte-parole du gouvernement, le 30 novembre 2013, lors des débats relatifs au renforcement de la lutte contre le système prostitutionnel annonçant l’adoption d’un « habeas corpus numérique » pour 2014. 43 Conseil de l’Union européenne, Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) Évaluation de la décision de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États Unis d'Amérique, 2012/0011 (COD), 13440/13 ,11 septembre 2013. 44 Convention n°108 du conseil de l’Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1980. 45 Texte de compromis, article 43a. 46 CNIL, L’évaluation d’impact sur la vie privée pour les dispositifs RFID : questions-réponses, Article, 26 septembre 2013 : http://www.cnil.fr/linstitution/actualite/article/article/levaluation-dimpact-sur-la-vie-privee-pour-lesdispositifs-rfid-questions-reponses/ 47 La CNIL avait ainsi interdit le transfert de données de la société Fiat France vers Fiat Italie, forçant la société FIAT à conclure un contrat aux termes duquel Fiat Italie acceptait de traiter les données des salariés de Fiat France en accord avec la règlementation française (Délibération n°89-78 du 11 juillet 1989). Par la suite, la CNIL devait également s’opposer au transfert de données médicales contenues dans le registre du cancer par l’Institut Gustave Roussy à un organisme européen ayant son siège à Bruxelles, la Belgique ne disposant pas de loi de protection des données à caractère personnel (Délibération n°89-98 du 26 septembre 1989). 42 15 construction d’un cadre européen en matière de protection des données personnelles afin d’éviter les blocages et protéger les libertés individuelles au sein du marché unique. L’Histoire pourrait se répéter, les autorités de contrôle européennes montrant la voie aux États membres par l’instauration de mécanismes ad hoc de coopération, à l’instar de ceux mis en place pour l’adoption de Règles internes d’entreprise, d’actions et interprétations communes. 16