C. RÉCONCILIER LA CNIL ET LES ENTREPRISES
1. Préserver les intérêts économiques et la recherche...
a) Pour les entreprises
- en
autorisant la constitution par des entreprises victimes de fichiers sur les
infractions dont elles ont été victimes
, afin d'éviter
la prolifération de fichiers souterrains (article 9 de la loi du 6
janvier 1978 modifié par l'article 2 du projet de loi) ;
- en
dérogeant à l'interdiction de prendre des
décisions
produisant des effets juridiques à l'égard
d'une personne
sur le seul fondement d'un traitement automatisé de
données à caractère personnel
destiné à
définir le
profil
de l'intéressé ou à
évaluer certains aspects de sa personnalité
si les demandes de
la personne concernée ont été satisfaites
(article 10
de la loi du 6 janvier 1978 modifié par l'article 2 du projet de
loi) ;
- en autorisant des
déclarations uniques pour des
catégories similaires de traitement dont les responsables
relèvent d'un même organisme
. Il s'agit d'une mesure de
simplification (article 23 de la loi du 6 janvier 1978 modifié
par l'article 4 du projet de loi) ;
- en
restreignant le champ des traitements devant être soumis
à l'autorisation de la CNIL à ceux ayant pour finalité
d'exclure
des personnes du bénéfice d'un droit et non ceux
ayant pour finalité d'attribuer des droits, une position contraire se
révélant ingérable, tous les traitements de prospects
étant alors soumis à autorisation (article 25 de la loi du
6 janvier 1978 modifié par l'article 4 du projet de loi) ;
- en
modifiant le régime introduit par l'Assemblée
nationale concernant les témoins de connexion (
cookies
) afin de
prendre en compte
l'article 5 de la
directive du 12 juillet 2002
dite «
vie privée et communications
électroniques
»
intervenue entre-temps :
en
supprimant la disposition interdisant de subordonner l'accès à un
service en ligne à l'acceptation par l'internaute du traitement des
informations
enregistrées au moyen des témoins de connexion
dans son équipement terminal ;
en supprimant le régime
répressif prévu ainsi que le caractère préalable de
l'information
requise (article 32 de la loi du 6 janvier 1978
modifié par l'article 5 du projet de loi) ;
- en
transposant la dérogation à l'obligation
d'information de la personne en cas de collecte indirecte des
données
si elle en a déjà été
informée, disposition prévue par l'article 11 de la
directive (article 32 de la loi du 6 janvier 1978 modifié par
l'article 5 du projet de loi) ;
- en
supprimant la possibilité réintroduite par
l'Assemblée nationale de permettre à la CNIL d'ordonner la
destruction de traitements
, ceci pouvant avoir des conséquences
dramatiques pour les entreprises et n'intervenant en pratique jamais. De plus,
le nouvel article 226-22-2 du code pénal prévoit que le juge
peut ordonner l'effacement de tout ou partie des données à
caractère personnel faisant l'objet du traitement ayant donné
lieu à l'infraction, ce qui semble plus protecteur (article 45 de la loi
du 6 janvier 1978 modifié par l'article 7du projet de loi) ;
- en
étendant la possibilité de dérogations
à l'interdiction de procéder à des transferts de
données à caractère personnel vers un pays tiers
n'assurant pas un niveau de protection suffisant en cas d'existence
d'un règlement intérieur
garantissant la protection des
droits et des libertés des personnes concernées. Il s'agit d'une
mesure de simplification (article 69 de la loi du 6 janvier 1978 modifié
par l'article 12 du projet de loi) ;