Révision de la Directive européenne sur la protection des données personnelles : inquiétudes de la CNIL (France)

Isabelle Falque-Pierrotin, Présidente de la CNIL en France, revient sur le processus en cours de révision de la Directive européenne 95/46/CE sur la protection des données personnelles et sur les mises en garde de la CNIL.

ITespresso.fr: Concrètement, où en est le processus d’examen pour réviser la directive sur les données personnelles ?

Isabelle Falque-Pierrotin : Le processus est largement entamé puisque le texte a été préparé par la Direction Justice de la Commission européenne. Il fait l’objet d’une consultation inter-services au sein de la Commission. Il sera finalisé comme projet de la Commission d’ici mi-janvier 2012 et transmis à partir de février pour discussion au Parlement et au Conseil européens.
Nous sommes vigilants car on a le sentiment que ce texte risque d’accentuer la concurrence intra-communautaire, et à, in fine, diminuer le niveau de protection en matière de données personnelles. De plus, il construit une gouvernance du G29 [groupe européen des autorités de protection, ndlr], dans laquelle la Commission européenne retrouve énormément d’importance. Ce qui ne nous paraît pas un bon message par rapport au monde décentralisé du numérique. Il y a une sorte de recentralisation de la gouvernance du G29 au niveau de la Commission. Cela ne nous paraît pas adapté à la régulation de ces univers numériques.

ITespresso.fr: Sur quels points précis la CNIL exprime des inquiétudes ?

IFP : La révision de la directive est un enjeu majeur. Mais on a le sentiment que pas assez de gens se mobilisent.  […] Il apparaît en première analyse que le texte renforce les droits (portabilité, droits à l’oubli…). Autant d’avancées extrêmement intéressantes. Mais, à d’autres égards, il nous inquiète car le texte fixe un nouveau critère pour la détermination del’autorité compétente qui est celui du principal établissement. […] La « CNIL » compétente sera l’autorité du principal établissement. Ce qui, pour les acteurs du numérique, conduit à transférer la charge de régulation sur l’Irlande, l’Angleterre, peut-être un peu le Luxembourg. […]

Nous avons fait part de notre inquiétude car nous considérons que cela ne tient pas la route. La loi Informatique et Libertés et le règlement européen vont forcément interagir avec d’autres lois nationales (fiscales, ressources humaines….). On voit mal l’autorité irlandaise appliquer toutes ces lois nationales.
[D’autre part], si tout est transféré sur un nombre limité d’autorités, les entreprises vont se localiser dans un certain nombre de pays « plus compréhensifs et plus flexibles » que nous. On risque d’avoir, par effet induit même si ce n’est pas affiché, une baisse de protection en Europe. Alors que l’on est dans une situation internationale de très forte concurrence sur les questions de données personnelles.
Je suis persuadée que le haut niveau de protection en Europe constitue un avantage concurrentiel. Ce n’est justement pas le moment de baisser le niveau de protection. C’est un facteur d’attraction pour les entreprises. Elles vont bénéficier d’un niveau de protection juridique qu’elles ne rencontreront nulle part ailleurs dans le monde. Et pour les consommateurs, c’est un gage de confiance.
[…]

ITespresso.fr: En l’état actuel, le G29 est une instance consultative de l’Union européenne. Dans quelle mesure ses prérogatives seraient renforcées dans le cadre du nouveau règlement ?

IFP : L’idée de la Commission est de renforcer le rôle des autorités nationales et d’harmoniser leurs compétences (notamment leur pouvoir de sanction). […] C’est également de renforcer le G29 et de lui donner plus de pouvoirs [et de moyens, à travers un personnel permanent alimenté par le Contrôleur européen de protection des données (EDPS: European Data Protection Supervisor].
Mais, en même temps, les signaux envoyés sont un peu contradictoires : on voit que la Commission européenne retrouve un rôle doctrinal sur beaucoup de sujets, au nom de l’harmonisation qu’elle souhaite mettre en place au niveau européen, [et] au détriment du G29.
Nous avons fait remonter nos préoccupations à la Commission européenne et auprès des autorités nationales françaises. Nous allons regarder cela de façon très soigneuse.

Pour en savoir plus:
Source: interview d’Isabelle Falque-Pierrotin sur ITespresso.fr publiée le 29 décembre 2011

Législation: Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.