C. RÉCONCILIER LA CNIL ET LES ENTREPRISES
1. Préserver les intérêts économiques et la recherche...
a) Pour les entreprises
- en autorisant la constitution par des entreprises victimes de fichiers sur les infractions dont elles ont été victimes , afin d'éviter la prolifération de fichiers souterrains (article 9 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ;
- en dérogeant à l'interdiction de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité si les demandes de la personne concernée ont été satisfaites (article 10 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi) ;
- en autorisant des déclarations uniques pour des catégories similaires de traitement dont les responsables relèvent d'un même organisme . Il s'agit d'une mesure de simplification (article 23 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;
- en restreignant le champ des traitements devant être soumis à l'autorisation de la CNIL à ceux ayant pour finalité d'exclure des personnes du bénéfice d'un droit et non ceux ayant pour finalité d'attribuer des droits, une position contraire se révélant ingérable, tous les traitements de prospects étant alors soumis à autorisation (article 25 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;
- en modifiant le régime introduit par l'Assemblée nationale concernant les témoins de connexion ( cookies ) afin de prendre en compte l'article 5 de la directive du 12 juillet 2002 dite « vie privée et communications électroniques » intervenue entre-temps : en supprimant la disposition interdisant de subordonner l'accès à un service en ligne à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal ; en supprimant le régime répressif prévu ainsi que le caractère préalable de l'information requise (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;
- en transposant la dérogation à l'obligation d'information de la personne en cas de collecte indirecte des données si elle en a déjà été informée, disposition prévue par l'article 11 de la directive (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi) ;
- en supprimant la possibilité réintroduite par l'Assemblée nationale de permettre à la CNIL d'ordonner la destruction de traitements , ceci pouvant avoir des conséquences dramatiques pour les entreprises et n'intervenant en pratique jamais. De plus, le nouvel article 226-22-2 du code pénal prévoit que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction, ce qui semble plus protecteur (article 45 de la loi du 6 janvier 1978 modifié par l'article 7du projet de loi) ;
- en étendant la possibilité de dérogations à l'interdiction de procéder à des transferts de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection suffisant en cas d'existence d'un règlement intérieur garantissant la protection des droits et des libertés des personnes concernées. Il s'agit d'une mesure de simplification (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi) ;
b) Pour la recherche
- en élargissant les dérogations au droit d'accès actuellement prévues pour le seul établissement de statistiques à la recherche (conformément au paragraphe 2 de l'article 13 de la directive), tout en les entourant de garanties, la CNIL devant statuer (article 39 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi).
2. ... en développant une véritable collaboration avec la CNIL
- en précisant que la CNIL doit non seulement informer les personnes concernées mais également les responsables de traitements (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;
- en permettant à des institutions, notamment des organismes de recherche de faire homologuer des règles professionnelles par la CNIL, et en prévoyant que ces règles peuvent porter sur des procédés d'anonymisation des données (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi) ;
- en encourageant l'institution de correspondants de la CNIL dans les entreprises privées -sur la base du volontariat, mais sur le modèle des correspondants prévus pour les journalistes et existant déjà en pratique dans les organismes publics-. Il s'agit d'une transposition d'une possibilité offerte par le point 2 de l'article 18 de la directive et déjà appliquée en Allemagne et en Suède. En contrepartie, les entreprises bénéficieront d'une exemption de déclaration de leurs traitements sous réserve de la tenue d'un registre (article 11 de la loi du 6 janvier 1978 modifié par l'article 3 du projet de loi). Ceci doit permettre une meilleure collaboration entre les entreprises et la CNIL (article 22 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi) ;
- en mettant à la disposition du public la liste des pays tiers réputés assurer un niveau de protection suffisant (article 31 de la loi du 6 janvier1978 modifié par l'article 4 du projet de loi) ;