La protection de la vie privée et des données personnelles représente un enjeu majeur de politique publique en France et partout en Europe. L'essor du numérique et le contexte de globalisation rendent nécessaire la révision du cadre juridique européen existant. La directive européenne de 1995 est ainsi appelée à être remplacée par un règlement européen d’application directe dans l’ensemble des États membres de l’Union européenne. Il devrait notamment permettre une meilleure harmonisation et renforcer l’effectivité des règles de protection des données personnelles. Le texte définitif devrait être adopté fin 2013 et entrer en vigueur deux ans plus tard. Ce moment est historique et il faut en prendre la pleine mesure car il dessinera le nouveau paysage de la protection des données du XXIème siècle en Europe.
La Commission européenne a rendu public, le 25 janvier 2012, un projet de règlement relatif à la protection des données personnelles. Le texte est actuellement en cours de discussion au Parlement européen, où il fait l'objet d'amples débats (le pré-rapport présenté en janvier 2013 par M. Albrecht, rapporteur à la Commission Libertés civiles, justice et affaires intérieures du Parlement européen, a ainsi fait l'objet de plusieurs milliers de propositions d'amendements). La Commission européenne a prévu une adoption fin 2013. Ce projet a pour double objectif de renforcer les droits des citoyens et de moderniser le cadre existant pour tenir compte des nouveaux défis liés au développement des nouvelles technologies et à la mondialisation.
La CNIL souscrit aux objectifs poursuivis par cette réforme, notamment quant au renforcement du consentement des personnes dont les données sont traitées, la reconnaissance d'un droit à la " portabilité " des données, mais aussi la simplification des démarches administratives pour les entreprises. Plus généralement, elle partage la volonté de développer la responsabilisation des entreprises selon un processus de mise en conformité permanent.
Le projet de texte soulève cependant de sérieuses interrogations quant à l'effectivité de la protection des droits des personnes.
Le projet prévoit ainsi de donner une compétence exclusive à la " CNIL " du pays de l'établissement principal de l'entreprise responsable du traitement pour prendre l'ensemble des décisions applicables (y compris les contrôles et sanctions éventuelles). Un tel mécanisme aurait pour conséquence d'obliger les citoyens à faire valoir leurs droits dans un pays autre que celui de leur résidence, celui de l'établissement principal, leur CNIL nationale devenant une simple " boîte aux lettres ". De plus, les entreprises seraient incitées à choisir leur lieu d'établissement principal en fonction des contraintes locales, encourageant les risques de concurrence intra-communautaire en la matière. La CNIL a donc, depuis un an, proposé un mode de gouvernance à la fois intégré et décentralisé : intégré, parce que les autorités de contrôle doivent pouvoir prendre conjointement des décisions à l'égard des traitements transnationaux ; décentralisée, parce que chaque CNIL doit rester compétente pour les résidents de son territoire.
Le débat porte également sur les conditions dans lesquelles peuvent intervenir les transferts de données hors UE, certains préconisant que de tels transferts puissent avoir lieu sur la base d'une simple " autoévaluation " de la part du responsable de traitement. Un tel mécanisme affaiblirait considérablement le niveau de protection des citoyens européens. La CNIL préconise donc de maintenir un contrôle sur ces transferts, dans le cadre d'instruments juridiques pertinents.
Enfin, la CNIL continue à promouvoir l'introduction dans le règlement d'un véritable droit au déréférencement de la part des moteurs de recherche. Le droit au déréférencement n'est, pour la personne qui remplit les conditions pour demander l'effacement de ses données personnelles, que le corollaire du droit d'effacement : il s'agit de pouvoir demander au moteur de recherche d'effacer totalement de ses résultats la donnée dont l'effacement a été obtenu, ainsi que ses répliques.
Dans ce contexte, la CNIL invite l'ensemble des pouvoirs publics nationaux à se mobiliser et à promouvoir une vision humaniste de la protection des données personnelles, qui définisse un juste équilibre entre droits fondamentaux et innovation technologique.
