3. Le rapprochement de la CNIL et des entreprises
Le Sénat, soucieux d'alléger les formalités auxquelles sont soumises notamment les entreprises, a entrepris de favoriser des mesures de simplification, tout en préservant les droits des personnes.
a) La préservation des intérêts économiques et de la recherche...
Le Sénat a adopté une approche résolument pragmatique, afin d'éviter le développement de traitements souterrains.
Ainsi, il a autorisé les entreprises à constituer des traitements sur les infractions dont elles ont été victimes (article 9 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi).
En outre, la Haute Assemblée a privilégié la simplification des formalités en autorisant des déclarations uniques pour des catégories similaires de traitements dont les responsables relèvent d'un même organisme (article 23 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi).
Le Sénat a également distingué le niveau de protection à accorder selon que les décisions prises visaient à attribuer ou refuser une prestation . Ainsi, a été prévue une dérogation à l'interdiction de prendre des décisions produisant des effets juridiques à l'égard d'une personne sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité si les demandes de la personne concernée étaient satisfaites (article 10 de la loi du 6 janvier 1978 modifié par l'article 2 du projet de loi), tandis que n'étaient plus soumis à l'autorisation de la CNIL que les traitements ayant pour finalité d'exclure des personnes du bénéfice d'un droit et non ceux en attribuant (article 25 de la loi du 6 janvier 1978 modifié par l'article 4 du projet de loi).
Par ailleurs, le Sénat a modifié le régime introduit par l'Assemblée nationale concernant les témoins de connexion ( cookies ) afin de prendre en compte l'article 5 de la directive du 12 juillet 2002 dite « vie privée et communications électroniques » intervenue entre-temps. Il a ainsi supprimé l'interdiction de subordonner l'accès à un service en ligne à l'acceptation par l'internaute du traitement des informations enregistrées au moyen des témoins de connexion dans son équipement terminal et le régime répressif y afférant ainsi que le caractère préalable de l'information requise (article 32 de la loi du 6 janvier 1978 modifié par l'article 5 du projet de loi).
Le Sénat est également intervenu sur un autre point sensible pour les entreprises, en encadrant le pouvoir de sanction pécuniaire de la CNIL , malgré l'avis défavorable de la commission des Lois. Ainsi, il a subordonné la possibilité de prononcer des sanctions pécuniaires à l'existence de « profit ou d'avantage économique », et limité la possibilité pour la CNIL de rendre publiques les sanctions qu'elle prononce aux cas de « mauvaise foi » du responsable du traitement » (articles 45 et 46 de la loi du 6 janvier 1978 modifiés par l'article 7 du projet de loi).
Par ailleurs, le Sénat a supprimé la possibilité réintroduite par l'Assemblée nationale de permettre à la CNIL d'ordonner la destruction de traitements, aux conséquences dramatiques pour les entreprises, le nouvel article 226-22-2 du code pénal prévoyant que le juge peut ordonner l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction (article 45 de la loi du 6 janvier 1978 modifié par l'article 7 du projet de loi).
Il a enfin étendu la possibilité de dérogations à l'interdiction de procéder à des transferts de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection suffisant en cas d'existence d'un règlement intérieur garantissant la protection des droits et des libertés des personnes concernées (article 69 de la loi du 6 janvier 1978 modifié par l'article 12 du projet de loi).