II. UN TEXTE QUI PRÔNE UNE APPROCHE GLOBALE DE LA PROTECTION DES DONNÉES PERSONNELLES QUI SOULÈVE CEPENDANT DE NOMBREUSES RÉSERVES
A. UNE APPROCHE QUI SE VEUT GLOBALE ET PROTECTRICE DES INTÉRETS EN PRÉSENCE
1. La mise en oeuvre du principe affirmé par la Commission : « un continent, une règle »
Lors de son audition par votre commission des lois et celle des affaires européennes, le mardi 21 février 2012, Mme Viviane Reding, vice-présidente de la Commission européenne, chargée de la justice, des droits fondamentaux et de la citoyenneté a justifié la proposition de règlement en soulignant qu'« en matière de protection des données, il existe au moins 27 régimes juridiques différents, non coordonnés et parfois contradictoires [...] j'ai donc proposé le principe suivant : un continent, une règle ».
Deux objectifs indissociables l'un de l'autre sont assignés à ce texte : l'harmonisation des règles de protection applicables sur le territoire de l'Union européenne et l'allégement des procédures applicables aux opérateurs de traitement de données à caractère personnel.
La Commission a justifié le choix d' un règlement, d'application directe et immédiate , par la volonté de « réduire la fragmentation juridique et d'apporter une plus grande sécurité juridique, en instaurant un corps harmonisé de règles de base, en améliorant la protection des droits fondamentaux des personnes physiques et en contribuant au bon fonctionnement du marché intérieur » 21 ( * ) .
Le règlement est contraignant pour les États membres et entraîne une harmonisation effective du droit, plus rapide que ne le permet une directive. Il s'agit donc de mettre en place un corpus de règles communautaires, qui se substituera aux législations nationales existantes .
Si la Commission propose au législateur européen de fixer dans le règlement les lignes directrices applicables en matière de protection des données personnelles, elle réserve largement sa compétence, en prévoyant, plus d'une cinquantaine de fois, que les précisions requises soient apportées par voie d'actes délégués 22 ( * ) ou d'actes d'exécution 23 ( * ) .
2. Le double objectif de la proposition de règlement : renforcer les droits des citoyens et assurer la sécurité juridique pour les entreprises
Lors de son audition du 21 février 2012, Mme Viviane Reding a affirmé que la proposition de règlement de la commission était « inspirée des législations nationales les plus protectrices » et donc que l'harmonisation des règles se ferait « par le haut ».
a) Une protection accrue des personnes
(1) La libre disposition par la personne concernée de ses données à caractère personnel
(a) L'obligation pour le responsable de traitement d'obtenir le consentement exprès de la personne concernée
Le règlement réaffirme une véritable liberté de choix pour la personne en excluant tout consentement tacite ou passif. Le consentement au traitement des données à caractère personnel doit être exprès (article 7). La charge de la preuve du consentement incombe au responsable du traitement. Pour les enfants de moins de 13 ans, le consentement est donné par un parent (article 8). Il peut être retiré à tout moment. Corrélativement, la proposition de règlement réaffirme le droit d'opposition de chacun au traitement de ses données personnelles (article 19).
(b) Le renforcement de l'obligation d'information pesant sur le responsable de traitement
La proposition de règlement renforce ensuite l'obligation d'information pesant sur le responsable de traitement . La directive de 1995 prévoyait ce type d'obligations pour l'identité et les coordonnées du responsable de traitement ou la finalité du traitement des données. Les articles 14 et 15 de la proposition de règlement élargissent le champ d'application de l'obligation en y intégrant les informations relatives à la durée de conservation des données , au droit d'introduire une réclamation auprès de l'autorité de contrôle, à la possibilité de demander la rectification ou l'effacement de données et à l'intention du responsable de traitement d'effectuer des transferts internationaux des données.
(c) Le « droit à l'oubli numérique » et le « droit à la portabilité des données »
Outre le fait qu'elle réaffirme le droit pour la personne de demander la rectification de ses données (article 16), la proposition de règlement, dans son article 17, précise le droit à l'effacement qui existait déjà dans la directive de 1995 et consacre le « droit à l'oubli » numérique.
Cet article prévoit que « la personne concernée a le droit d'obtenir du responsable de traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données en particulier en ce qui concerne [celles qu'elle] avait rendues disponibles lorsqu'elle était enfant ».
Parallèlement, l'article 18 confère à la personne concernée un nouveau droit, le « droit à la portabilité des données » , c'est-à-dire celui de transmettre des données d'un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse y faire obstacle.
(d) L'encadrement de la pratique du « profilage »
L'article 20 encadre quant à lui, plus strictement, la possibilité de « profilage » d'une personne à partir de ses données personnelles. Cette pratique consiste, en matière commerciale notamment, à collecter des données qui, sans être nominatives, permettent de cibler les individus à partir de leurs goûts, leurs préférences, leur genre, leur âge...
(2) Les différents recours contentieux à la disposition des personnes
En cas de violation de données à caractère personnel , toute personne ou tout organisme habilité concerné, peut déposer une réclamation auprès d'une autorité de contrôle (article 73), dont la compétence est déterminée par l'application du critère du « principal établissement » ( cf. infra ).
La proposition de règlement prévoit aussi la possibilité de former un recours juridictionnel contre l'autorité de contrôle elle-même , en particulier pour la contraindre à donner suite à une réclamation. La juridiction compétente est alors celle de l'État membre où l'autorité de contrôle est établie (article 74).
Quant au recours de la personne concernée contre le responsable de traitement , il doit être déposé devant la juridiction de l'État membre où le défendeur est établi ou de l'État membre de résidence de la personne concernée (article 75).
b) Un changement de logique : la suppression des contraintes a priori pesant sur l'entreprise responsable du traitement contre le renforcement a posteriori de sa responsabilité
Pour alléger les procédures pesant sur le responsable de traitement, l'obligation de notification préalable des traitements aux autorités de contrôle, qui pesait sur lui en vertu de la directive de 1995, est supprimée .
En contrepartie, a posteriori , les responsabilités des personnes traitant les données seront renforcées . Une responsabilité globale du responsable du traitement est instaurée (articles 22 et suivants). Le responsable de traitement doit « mettre en oeuvre des mesures appropriées pour garantir [...] que le traitement des données à caractère personnel est effectué dans le respect du présent règlement ».
Elle emporte notamment l'obligation de prévoir la protection des données dès la conception du traitement et de mettre en oeuvre des mesures appropriées pour assurer la sécurité du traitement.
(1) Les obligations particulières pesant sur le responsable de traitement
Il s'agit notamment de :
- l'obligation de notification d'une violation des données personnelles par l'information de l'autorité de contrôle et l'avertissement des personnes physiques concernées afin de leur permettre de prendre les mesures qui s'imposent (articles 31 et 32) ;
- l'obligation de réaliser une étude d'impact pour déterminer si le traitement de données personnelles qu'il va mettre en place peut présenter des risques pour les droits et libertés des personnes (article 33) ;
- l'obligation de désigner un délégué à la protection des données pour le secteur public et, dans le secteur privé, pour les entreprises de plus de 250 salariés, ou lorsque les activités de base du responsable du traitement consistent en des traitements qui exigent un suivi régulier et systématique (articles 35 et suivants). La directive de 1995 ouvrait cette possibilité aux États membres à la place de l'obligation de notification générale.
(2) L'encadrement des transferts de données vers des pays tiers à l'Union européenne
Les transferts de données vers les pays tiers ne peuvent avoir lieu que s'ils respectent les obligations prévues à cet effet dans le règlement (article 40). Ainsi, ils ne sont possibles que si la Commission a constaté que le pays destinataire assure un niveau de protection « adéquat » aux données personnelles concernées.
Le niveau « adéquat » de protection s'apprécie en fonction de la législation en vigueur, de l'existence et du fonctionnement effectif d'autorités de contrôle, de l'existence d'un droit de recours judiciaire et des engagements internationaux souscrits par le pays tiers concerné (article 41). Si la commission décide que le pays tiers n'assure pas un niveau de protection « adéquat », le transfert de données est interdit.
Lorsque la commission n'a pas adopté de décision constatant un niveau de protection adéquat du pays, le transfert de données à caractère personnel n'est possible que si le responsable de traitement offre, dans un instrument juridique contraignant, des « garanties appropriées » à savoir, des règles d'entreprise contraignantes 24 ( * ) , des clauses types de protection des données adoptées par la commission ou par une autorité de contrôle 25 ( * ) et des clauses contractuelles approuvées par une autorité de contrôle. À défaut, le responsable de traitement doit demander une autorisation préalable de transfert à l'autorité de contrôle (article 42 et suivants).
Par dérogation, les transferts sont autorisés lorsque que la personne concernée y a consenti, qu'ils sont nécessaires à l'exécution du contrat, justifiés par des « motifs importants d'intérêt général », ou conformes aux « intérêts légitimes » poursuivis par le responsable de traitement.
* 21 Exposé des motifs de la proposition de règlement du Parlement européen et du Conseil [COM (2012) 11 final] relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (E7055).
* 22 Habilitations données à la Commission par le Parlement européen et le Conseil, pour l'adoption d'actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l'acte législatif (article 290 TFUE).
* 23 Actes pris par la Commission pour l'application d'un règlement (Article 291 TFUE).
* 24 Ces règles n'étaient jusque là pas mentionnées dans le texte.
* 25 Lorsque la commission a constaté leur applicabilité générale.