Print Friendly, PDF & Email

Le projet de règlement européen du 25 janvier 2012 relatif à la protection des données personnelles est au point mort.

Ce texte a pour objectif d’harmoniser la législation en matière de traitement des données personnelles des citoyens, aujourd’hui régie par la directive 95/46/CE vieille de 17 ans – autant dire préhistorique dans le domaine des nouvelles technologies.

Plusieurs mesures phares sont prévues par le projet, comme la consécration d’un droit à l’oubli. Mais un point précis fait l’objet de nombreuses discussions entre la Commission et les États : l’instauration d’un système de guichet unique pour le traitement des données.

Introduction

Avant toute chose, qu’est-ce qu’une donnée personnelle ? Pour simplifier, on entend par donnée personnelle toute donnée permettant d’identifier directement ou indirectement une personne physique.

A ce sujet, l’article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés précise que: « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Au niveau européen, la définition est donnée à l’article 2 de la directive 95/46/CE : « Toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. ».

Ensuite, qu’est-ce que ce système de guichet unique ? L’article 51 du projet de règlement prévoit que lorsque le responsable du traitement des données personnelles – le plus souvent une entreprise – est établi dans plusieurs États membres, l’autorité de contrôle de l’État membre où se situe l’établissement principal du responsable du traitement est compétente pour contrôler les activités de traitement dans tous les États membres.

Concrètement, une société dont l’établissement principal est par exemple en Espagne (abstraction faite du problème d’interprétation que peut soulever le terme « établissement principal ») et dont l’activité s’étend dans d’autres pays de l’Union n’aura comme interlocuteur que l’autorité de traitement de données d’Espagne. Elle n’aura donc pas à demander une quelconque autorisation aux autres autorités pour traiter les données personnelles des ressortissants des autres pays comme cela est le cas actuellement. Il y a là une volonté de simplifier les démarches administratives pour les entreprises, qui peuvent être freinées par cette montagne bureaucratique, elle-même source d’insécurité juridique au vu des différentes exigences émises par chacune des autorités.

Cependant, bien que cet objectif d’harmonisation de l’état du marché intérieur soit louable, il n’est pas sans contre-coup. Si seule l’autorité de l’établissement principal – aussi appelée chef de file – est compétente pour connaître des activités de l’entreprise, doit-elle l’être aussi pour connaître des réclamations que ne manqueront pas d’être émises par les citoyens des autres pays ? Doit-on lui accorder simplement la compétence de prendre des décisions de supervision ? Ou doit-on lui accorder aussi le pouvoir de prendre des mesures correctrices non seulement dans son pays, mais aussi pour des faits s’étant déroulés dans d’autres États membres ? Doit-on favoriser un mécanisme de codécision comme le propose la France ? Ou encore doit-on donner compétence à une autorité européenne telle que le Comité européen de la protection des données (organisme instauré aux articles 64 et suivants du projet de règlement)?

Toutes ces interrogations ont fait l’objet de la dernière réunion du Conseil des ministres le 6 décembre 2013 (intégralité de la réunion : http://video.consilium.europa.eu/webcast.aspx?ticket=775-979-13755. Les propos rapportés dans cet article peuvent être entendus dans cette vidéo).

La question à l’ordre du jour était de savoir : « les pouvoirs exclusifs conférés à l’autorité chef de file doivent-ils englober les mesures correctrices ? Si non, ces mesures doivent-elles être conférées à l’autorité locale ou au Comité européen ? ». Malgré la richesse des débats entre le service juridique du Conseil et celui de la Commission représentée par Viviane Reding, commissaire en charge du projet, les États membres n’ont pu parvenir à un accord concernant les compétences à octroyer au chef de file.

La problématique engendrée par ce système du guichet unique consiste à trouver un juste équilibre entre d’un côté l’objectif de simplification des démarches administratives au profit des entreprises, et de l’autre côté conserver une efficacité et une effectivité des moyens de recours offerts aux citoyens dans la protection de leurs données personnelles.

Il convient d’analyser dans un premier temps les conséquences possibles d’un transfert total de compétences tel que voulu par la Commission et certains États, et dans un second temps les alternatives possibles.

Les conséquences d’un transfert total de compétences au profit du chef de file

Il ressort des débats une certaine réticence de la part des États à vouloir transmettre des compétences dans la prise de mesures correctrices au chef de file. Au-delà de la peur évidente d’un transfert de souveraineté, la réticence vient aussi dans la crainte d’une baisse de protection pour les citoyens.

Pour les entreprises, l’avantage serait conséquent.

Comme évoqué précédemment, le guichet unique permettra une grande simplification administrative car le chef de file sera le seul interlocuteur. Mais si ce dernier est compétent pour prendre des mesures correctrices, l’avantage pour l’entreprise résidera aussi dans une plus grande sécurité juridique. En effet aujourd’hui, la société voulant étendre son activité dans l’ensemble de l’Union doit jongler avec 28 législations, chacune ayant des exigences plus ou moins différentes. Chacune des autorités locales peut prendre indépendamment des autres des sanctions pour punir ce qu’elle aura souverainement estimé être une violation des données personnelles. Mais cette appréciation est différente d’une autorité à l’autre.

Il est notoire que les autorités d’Irlande, où sont notamment installés les plus grands groupes de l’internet tels que Google ou Facebook, sont moins sévères à l’égard des sociétés que d’autres autorités telles que la CNIL française (preuve en est de la dernière condamnation de Google par l’autorité française à l’amende maximale – mais dérisoire – de 150 000€). D’où la position ferme de l’Irlande en faveur d’un transfert total de compétences lors de la dernière réunion du Conseil des ministres.

Ce point amène un risque non négligeable : celui du « forum shopping ».

Ce terme désigne le fait pour une personne de s’installer dans un pays plutôt qu’un autre en fonction de l’attractivité de sa législation.

Certes, le règlement européen est d’application directe et ne fait l’objet d’aucune transposition au niveau national contrairement aux directives. Mais le règlement ne pose que des règles d’ordre général, et même si celles-ci s’imposent aux États, il est légitime de croire qu’une autorité comme celle d’Irlande ou du Luxembourg fera preuve d’une plus grande souplesse au niveau des sanctions afin de conserver l’attractivité de son pays aux yeux des géants de l’internet. C’est pourquoi ces États refusent tout transfert à une quelconque autorité européenne dans le cadre de la prise de mesures correctrices.

Du point de vue du citoyen, le système en l’état ne semble pas aller en sa faveur. Hubert Legal, directeur du service juridique du Conseil des ministres, n’a pas manqué de dénoncer de nombreux facteurs qui risquent de nuire à l’effectivité des recours et donc à la garantie des droits.

En premier lieu, il peut être difficile pour le citoyen de savoir vers quelle autorité se tourner pour exercer ses droits. Si l’établissement principal de la société n’est pas situé dans le même État que lui, l’autorité locale correspondant à son domicile sera totalement incompétente pour connaître de son litige. Qu’en est-il de l’autorité chef de file ? Hubert Legal prend l’exemple d’un citoyen du Portugal qui souhaite exercer un recours contre une société dont l’établissement principal est basé en Lettonie.

Trois difficultés se dressent face au citoyen :

  • Une difficulté d’ordre géographique car les deux États sont très éloignés ;
  • Une difficulté d’ordre procédural car les contraintes, délais et autres impératifs administratifs peuvent différer d’un État à l’autre ;
  • Une difficulté d’ordre linguistique, qui impose au citoyen de déléguer tous les actes à un tiers.

Conséquence de ces trois facteurs : l’investissement, que ce soit au niveau coût ou au niveau temps, peut être très lourd, voir totalement hors de proportions vis-à-vis de la réparation souhaitée. La question quant à l’effectivité du droit peut donc être légitimement soulevée. Si la Commission tempère le problème géographique par le système de communication électronique et les autres difficultés par un système de représentation, des interrogations demeurent quant à une telle évolution du droit où le plaignant n’aurait plus qu’un rôle passif, tel un patient devant son chirurgien. L’Europe semblera encore plus éloignée et abstraite aux yeux du citoyen.

Reste pour lui la possibilité de se tourner vers la juridiction de son État.

Le service juridique du Conseil qualifie ce recours de « fausse voie », qui aurait de graves conséquences sur l’efficacité de la justice en créant un conflit de compétences entre d’un côté la juridiction de l’État du citoyen, et d’un autre côté l’autorité chef de file. Quid de l’intérêt d’un règlement européen si celui-ci est source de conflit positif entre les organismes étatiques ?

Ce système ne paraît donc pas en l’état offrir un juste équilibre entre l’intérêt des entreprises et l’intérêt des citoyens. C’est pourquoi plusieurs alternatives dans le fonctionnement du guichet unique ont été proposées.

Les alternatives proposées dans la mise en place du système de guichet unique

Hormis certains États comme l’Irlande ou le Luxembourg, la très grande majorité ne souhaite pas offrir de compétences en matière de mesures correctrices à l’autorité chef de file. Si un consensus semble se dégager quant à l’attribution de compétences en matière de supervision, plusieurs États s’interrogent encore sur la mise en place d’un système de sanction qui établirait l’équilibre qui fait défaut au transfert total de compétences.

Tout d’abord, le service juridique du Conseil des ministres a lui-même soumis une contre-proposition. Dans le cadre d’un litige local, la compétence pourrait revenir à l’autorité du domicile du citoyen, ou celle du lieu de la transaction (c’est-à-dire le modèle classique en matière de droit de la consommation, avec un choix pour le citoyen). Si en revanche le litige est de nature transfrontalière, celui-ci devrait être soumis à une autorité européenne comme le G29. Cela permettrait une harmonisation de la jurisprudence en la matière – recherchée par le règlement européen – et éviterait dans le même temps tout syndrome de « forum shopping ».

Et afin de garantir les droits de manière optimale, les décisions du G29 seraient contestables devant la CJUE, dont la compétence semble avoir été totalement éludée dans le projet de règlement initial. Ainsi l’efficacité du droit ne serait pas soumis au diktat imposé par le choix des multinationales. Le Groupe de l’article 29 regroupe toutes les autorités de contrôle européennes. C’est un groupe de travail qui découle de l’article 29 de la directive 95/46/CE et qui est habilité à rendre des rapports, des avis, et à coordonner les actions des différentes autorités de contrôle européennes en vue d’améliorer leur efficacité.

Ensuite, les propositions en tant que telles des pays divergent :

1. certains souhaitent que l’autorité locale conserve le pouvoir de prendre des mesures correctrices (Suède, Pologne, Hongrie, Danemark, Espagne, Slovénie, Pays-Bas, Lettonie, Autriche, Chypre, Estonie, Malte) ;
2. d’autres veulent un mécanisme de codécision entre les autorités locales et le chef de file en matière de sanction (Belgique, Italie, Portugal) ;
3. d’autres maintiennent leur position quant à un transfert total de compétences au profit du chef de file (Royaume-Uni, Irlande, Luxembourg, République Tchèque, Croatie) ;
4. certains pays ne sont pas satisfaits du système, et veulent un approfondissement du travail (Allemagne, Roumanie, Finlande) ;
5. la Bulgarie souhaite que le citoyen puisse avoir le choix de saisir ou l’autorité locale ou l’autorité de l’établissement principal ;
6. la France souhaite un système de coopération à chaque étape du traitement, ainsi que conférer un rôle au Comité européen pour la protection des données. Les recours devraient néanmoins être faits devant les autorités locales ;
7. enfin, seuls l’Estonie, Chypre, l’Autriche et les Pays-Bas ne s’opposent pas à une compétence dans la prise de mesures correctrices au profit du Comité.

Les pays ne se rejoignent à l’unanimité que sur la nécessité d’un système de coopération entre les autorités locales et le chef de file, sans s’accorder sur qui doit avoir le dernier mot quant à la prise de décision.

Mais se poser cette question est légitime.

Doit-on favoriser l’évolution du marché intérieur ou la protection du citoyen ?

La protection des données à caractère personnel est consacrée à l’article 16 §1 du TFUE, intégré dans la première partie du traité, à savoir « les principes », alors que le titre relatif aux règles du marché intérieur n’apparaît que dans la troisième partie. Au vu de cette hiérarchisation des règles, n’est-il pas légitime de penser que la protection des données devrait être l’objectif premier du système du guichet unique ?

Certes, l’ère du numérique pousse les utilisateurs d’Internet à donner plus souvent et plus facilement leurs informations. Mais sans aller jusqu’à asphyxier les multinationales de règles contraignantes, il n’est pas inutile de vouloir contrôler efficacement la manière dont elles traitent et conservent ces données. L’Histoire a à plusieurs reprises démontré les conséquences d’un trop grand laxisme dans ce domaine.

Contrairement au souhait de Viviane Reding, le règlement ne sera pas adopté avant la fin de la présidence lituanienne. Il est à espérer que le projet ne soit pas enterré lors de la présidence grecque…

Cet article a été gracieusement mis à disposition d’IPnews.be par LinkIPIT. Il a été écrit par Loïc LAROUR.
LinkIPIT est une plateforme de diffusion d’informations et analyses sur les thèmes de la Propriété Intellectuelle et des Nouvelles Technologie. La motivation de ses membres est de rendre l’information simple et accessible à travers une plateforme conviviale. Retrouvez LinkIPIT sur www.linkipit.com.

Axel Beelen