Pages

lundi 5 mars 2012

La centralisation européenne de la protection des données

Le Sénat se prépare à voter, le 6 mars 2012, une proposition de résolution sur le projet de règlement européen relatif à la protection des données. Cette initiative a pour objet de faire connaître l'inquiétude de la Chambre Haute à l'égard des projets de révision de la directive communautaire de 1995 destinée à garantir les droits des personnes sur lesquelles des données sont collectées et conservées. Concrètement, la Commission européenne a présenté deux textes, une proposition de règlement sur les fichiers privés, et une proposition de directive sur les fichiers publics "de souveraineté". Ces deux textes devraient être adoptés selon la procédure de droit commun, par codécision entre le parlement européen et le Conseil de l'Union européenne.

En manifestant son inquiétude, le Sénat adopte une position très proche de celle déjà prise par l'Assemblée nationale. A l'initiative du député UMP Philippe Gosselin, la Commission des affaires européennes de l'Assemblée a en effet déjà adopté, le 7 février 2012, une résolution sur ce thème. Les deux assemblées surmontent donc leurs divergences politiques et reprennent un certain nombre des arguments déjà développés par la CNIL.

La réforme de la directive de 1995

Les sénateurs ne contestent pas vraiment la nécessité de réformer la directive de 1995, pas plus que les objectifs globaux de cette réforme. L'intervention d'internet a en effet développé les flux de données personnelles, très largement transfrontières, sans que les consommateurs ou les usagers aient réellement les moyens de faire usage de leurs droits, notamment en matière d'accès et de rectification. Le principe d'une approche européenne de la protection des données est donc perçu comme une nécessité. 

Sur le fond, la directive reprend la plupart des droits de la personne fichée (consentement au fichage, accès et rectification) et lui accorde deux prérogatives nouvelles. La première est le désormais célèbre droit à l'oubli : "la personne concernée a le droit d'obtenir du responsable du traitement l'effacement des données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne celle qu'elle avait rendues disponibles lorsqu'elle était enfant" (art. 17 du projet). La seconde est le nouveau droit à la portabilité des données, c'est à dire le droit de transmettre des données d'un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse s'y refuser.  

Si le Sénat apporte son soutien à ces principes, son projet de résolution s'interroge sur les relations entre les quatre acteurs que sont la personne fichée, l'entreprise ou l'administration qui gère le fichier (le responsable du traitement), l'autorité de contrôle (en France, la CNIL), et le droit communautaire qui impose désormais ses procédures. La Haute Assemblée met ainsi en lumière le risque d'une véritable centralisation européenne de tout le système juridique de protection des données.

OSS 117. Rio ne répond plus. Michel Hazanavicius. 2009. Jean Dujardin

Le droit interne peut il être plus protecteur ?

Le droit français de la protection des données, issu de la loi du 6 janvier 1978, se caractérise par une protection traditionnellement très élevée de la personne fichée. La question essentielle est donc de savoir si les Etats membres pourront adopter des dispositions nationales plus protectrices que celles figurant dans les textes européens. L'enjeu est de taille car certaines dispositions du projet communautaire sont moins protectrices que le droit français. L'obligation d'information du responsable du traitement est par exemple moins contraignante. Le droit français exige ainsi une mention obligatoire sur les formulaires informant la personne sur laquelle des données sont stockées de ses droits d'accès et de rectification. Le projet de règlement ne prévoit rien de tel, pas même une case à cocher attestant la lecture des droits et garanties offertes à la personne fichée.

S'agissant de droits fondamentaux, il serait évidemment très fâcheux que les Etats membres ne puissent adopter des dispositions plus protectrices dans leur ordre interne. Pour le moment cependant, rien dans le règlement ne consacre une telle possibilité. Il est vrai que l'on imagine mal la Commission faisant un recours contre un Etat membre au motif qu'il est allé au-delà du standard de protection imposé par le droit communautaire. Mais est-on jamais à l'abri d'une action de lobbying bien organisée ?

La gestion des recours

La résolution du Sénat reprend la principale critique opposée par la CNIL au projet communautaire. Pour traiter des requêtes des ressortissants des Etats de l'Union, le projet donne compétence à l'autorité de contrôle du pays dans lequel le responsable du traitement en cause a son "principal établissement". L'idée générale est de faciliter les démarches des entreprises qui n'auront donc plus qu'un interlocuteur unique à l'échelon européen, notamment pour la déclaration des traitements automatisés.

Quant au citoyen, il risque tout simplement d'être renvoyé à l'autorité de contrôle d'un autre pays. Ce risque est loin d'être négligeable si l'on considère que beaucoup d'entreprises actives dans le domaine de la vente sur internet ont établi leur siège en Irlande, pays au régime fiscal jugé plus avantageux. De manière très concrète, un citoyen français voulant contester la collecte ou la conservation de données le conservant devra donc saisir la CNIL, qui saisira ensuite l'autorité irlandaise de protection des données. Cette dernière risque d'être rapidement engorgée, à moins que la difficulté même d'une telle procédure dissuade les recours. Et la CNIL de son côté, se trouve dessaisie de son pouvoir de sanction et limitée à un rôle de boîte aux lettres.

Le nivellement sur le standard le plus bas

La procédure induit ainsi une inégalité fondamentale, puisque le citoyen est moins bien traité que le responsable du traitement qui, lui, est assuré d'avoir un interlocuteur unique. La personne fichée est privée du droit de voir son recours instruit par l'autorité de contrôle qui lui est la plus accessible, et privé surtout de la possibilité de se voir appliquer un droit interne plus protecteur.

Sur ce plan, le projet de réforme communautaire peut être présenté comme l'instrument d'une nouvelle forme de perversité juridique, qui consiste à aligner les libertés fondamentales sur le standard le moins protecteur, comme si le rôle du droit communautaire consistait seulement à dégager en ce domaine un minimum de principes communs.


Aucun commentaire:

Enregistrer un commentaire