Protection des données personnelles : vers un guichet unique en Europe

Cette semaine, la gestion par les CNIL européennes de la protection des données a été longuement discutée par les ministres européens (Justice et Intérieur) lors du Conseil Justice Affaires Intérieures au Luxembourg. La question a essentiellement porté sur la mise en place d'un guichet unique, qui permettra à l'autorité d'un seul pays de gérer les procédures pour tous les pays de l'Union impliqués. De quoi donner du travail aux CNIL irlandaises et luxembourgeoises.

« Réduire les fardeaux administratifs »

Ces dernières années, les problématiques liées aux données personnelles (ou privées) se sont multipliées. Il faut dire qu'entre les informations stockées par les moteurs de recherche, les cybermarchands, les moyens de paiement et surtout les réseaux sociaux, il y a de quoi s'inquiéter si l'on s'arrête aux simples frontières d'internet. Google est ainsi actuellement en conflit avec les différentes CNIL européennes sur ses règles de confidentialité et de sa gestion des données personnelles de ses visiteurs et utilisateurs. Dans le passé, le cas Facebook a aussi fait couler beaucoup d'encre, et plus récemment, l'affaire Paypal n'est pas passée inaperçue.

Tous ces cas ne concernent toutefois pas un pays en Europe, mais tous ou presque. Nous parlons ainsi de multinationales disponibles dans le monde entier et par conséquent dans tous les pays européens et de l'Union. Le moindre problème implique donc toutes les CNIL de chaque territoire. Afin de simplifier les rapports entre ces autorités et les entreprises concernées, ceci dans le but d'accélérer les procédures, la Commission, et en particulier Viviane Reding, a donc proposé la mise en place d'un guichet unique.

Le concept est simple : dès lors que le traitement des données personnelles a lieu dans plus d'un État membre, une seule autorité de surveillance sera compétente pour surveiller les activités de la société concernée, ceci pour toute l'Union européenne. L'autorité en question sera celle où l'entreprise visée aura son siège principal. Pour les moteurs de recherche, les réseaux sociaux, les cybermarchands ou les sociétés spécialisées dans le stockage en ligne, il faudra donc essentiellement se tourner vers l'Irlande et le Luxembourg. Ces deux pays, du fait de leurs niveaux d'impositions attractifs, ont en effet attiré un grand nombre de multinationales pour leur siège européen. C'est notamment le cas de Facebook, Google, Apple, Microsoft, Twitter, eBay ou encore Amazon.

Le but est notamment de « réduire les fardeaux administratifs », ce qui diminuera à la fois de nombreux frais et accélèrera les procédures. Cela impliquera aussi une meilleure cohérence en matière de décisions au niveau européen. L'objectif non dissimulé est de simplifier la vie des entreprises, qui n'auront à faire face qu'à une seule et unique CNIL, et non plusieurs dizaines (28 aujourd'hui) comme c'est le cas actuellement.

La France milite pour une codécision

La plupart des États membres ont indiqué être en faveur d'un tel mécanisme, même si certains n'ont pas caché préférer le mécanisme de codécision. Et d'autres n'ont pas encore donné leur avis sur la question. Concernant la France, Christiane Taubira, la Garde des Sceaux et Ministre de la Justice, a indiqué via un communiqué de presse que « les discussions ont été en grande partie consacrées à la proposition de la France qui soutient le principe du guichet unique, tout en l’intégrant dans une procédure de codécision qui permettra d’associer toutes les autorités de contrôle nationales concernées ».

Sans être opposée à l'idée du guichet unique, la France espère donc que chaque autorité nationale aura tout de même son mot à dire en vue d'une coopération avec la CNIL principale. « Ainsi, dans ce nouveau dispositif, un traitement de données concernant des personnes résidant en France sera nécessairement soumis au contrôle de la CNIL, ce qui constituerait une garantie très forte pour les citoyens » selon la proposition de la Garde des Sceaux.

Même son de cloche du côté de la CNIL française, pour qui le concept de guichet unique déplait pour certains cas. Edouard Geffray, le secrétaire général de la Commission, a ainsi déclaré au Monde qu'il « ne faut pas que le lieu de sanction soit décorrélé du lieu de traitement des données ou de la résidence de l'utilisateur, même si l'idée d'un guichet unique pour l'entreprise est légitime. Dans un système de codécision, les CNIL compétentes sur un traitement votent ensemble pour l'approuver, procéder à des contrôles conjoints et l'interdire s'il y a lieu. Pour cela, on peut mettre en place une plateforme informatique mutualisée. Les décisions pourraient se prendre par un vote formel où, on peut imaginer, le silence vaut acceptation. »

La question du guichet unique sera discutée à nouveau lors du Conseil européen numérique les 24 et 25 octobre prochains à Bruxelles. Outre ce sujet, le Conseil abordera de nombreux thèmes, dont celui de la stratégie numérique, « avec pour objectif de formuler des orientations visant à l'achèvement du marché unique numérique d'ici 2015 ». Il sera aussi question des « progrès accomplis dans le domaine de l'innovation depuis les discussions qu'il a tenues en février 2011 ». Enfin, le Conseil « examinera avec intérêt les résultats de l'initiative "Des licences pour l'Europe" ». Ce dernier point devrait en intéresser plus d'un, car centré sur les contenus en ligne et leurs diffusions.