La CNIL vient de faire le point sur le projet de règlement européen sur les données personnelles. La Commission nationale de l’informatique et des libertés prévient que l’adoption du texte définitif n’est pas attendue avant mars 2014.
« Alors même que les négociations pour l'accord de libre-échange entre les États-Unis et l'Europe viennent de s'engager, il y a lieu de réitérer la nécessité de préserver un haut niveau de protection des données personnelles ». La CNIL ne cache pas son inquiétude alors qu’un tunnel de négociations informelles s’ouvre entre le Parlement, le Conseil européen et la Commission européenne.
Le chantier n’est pas mince. Au Parlement européen, l’objectif sera d’aboutir à un texte de compromis à partir des quelque 4 000 amendements qui ont été déposés sur le projet de règlement. Ce compromis doit être élaboré par la Commission Libertés, Justice et Affaires intérieures (dite commission Libe). C’est ce texte qui servira de point d’ancrage dans les relations avec les deux autres institutions.
Au Conseil, le projet de règlement a été retoqué par les États membres de l'Union européenne. Les ministres de la Justice européens ont estimé que l'actuelle version du texte était trop floue pour la protection des citoyens, mais également pénalisante pour les petites entreprises. Les discussions perdurent pour tenter de trouver une médiation.
L’importance de ce projet de règlement européen est forte puisque le texte s’appliquera de manière uniforme entre tous les pays membres (notre dossier réalisé depuis Bruxelles). Il s’imposera également aux géants américains qui exploitent le pétrole numérique des données personnelles. Consentement, profilage, cookies, droit à l’oubli, etc. les sujets font sans surprise l’objet d’un lobbying intense.
Se rappeler du droit à l'oubli
De son côté, la CNIL réitère ses vœux. Elle milite spécialement pour « le renforcement des droits des individus avec la consécration du droit à l'oubli numérique et de la portabilité des données ». Celle-ci n’a jamais caché son souhait de voir ce droit à l’oubli doublé par un droit au déréférencement dans les moteurs. La CNIL a ainsi lancé une consultation pour appuyer ce droit. « L’idée est de corréler étroitement ce droit à la désindexation avec celui à l’effacement : à partir du moment où j’ai obtenu un droit à l’effacement d’une information, la logique voudrait que j’en obtienne le déréférencement » nous expliquait en ce sens Édouard Geffray, secrétaire général de la CNIL.
La CNIL a d’autres souhaits encore. Au sein du Groupe de l’Article 29, qui réunit l’ensemble des autorités gardiennes des données personnelles, elle milite pour « la mise en place, en contrepartie de la simplification des formalités administratives, d'instruments de responsabilisation des responsables de traitement et sous-traitants, tels que les analyses d'impact, les correspondants Informatique et Libertés, et l'obligation de documentation ». Elle met aussi à l’index le trop faible encadrement des transferts de données hors UE lequel pourra reposer « sur des instruments juridiques non contraignants ou sur une auto-évaluation des risques et des garanties par l'exportateur de données, sans référentiel établi ni contrôle des autorités de protection. »
