La commission européenne veut mettre les Cnil au pas

Afin d’harmoniser les positions des différentes autorités de protection des données personnelles dans l’Union européenne, le futur règlement européen sur les données personnelles prévoit de renforcer le rôle du groupe des autorités et de mettre en place un mécanisme de cohérence sous le contrôle de la Commission européenne.

L’institution d’un comité européen de la protection des données

Actuellement, les différentes autorités nationales de protection des données (la France étant représentée par la Cnil) se réunissent au sein d’un groupe appelé « Groupe de l’article 29 » (ou G29), car il a été institué par l’article 29 de la directive européenne de 1995. Ce groupe n’a qu’un rôle consultatif. Il a rédigé plusieurs avis sur différents points concernant la protection des données personnelles et de la vie privée, comme l’utilisation des cookies, la gestion de la confidentialité dans les réseaux sociaux, etc.

Le projet de règlement européen institue, en remplacement du G29, un Comité européen de la protection des données, constitué des directeurs des autorités nationales ainsi que du Contrôleur européen de la protection des données (qui joue le rôle d’autorité interne pour les institutions de l’Union européenne).

Ce Comité aura pour mission de conseiller la Commission ou les autorités nationales sur l’application et l’évolution des lois de protection des données personnelles. Il facilitera la coopération entre les autorités nationales, ainsi que la promotion de la protection des données personnelles au niveau international. Il pourra émettre des avis ou des recommandations. Enfin, il devra émettre un avis sur les projets de décision des autorités nationales dans le cadre du mécanisme de contrôle de cohérence.

Un nouveau mécanisme supranational de cohérence

L’adoption du futur règlement a pour objectif d’augmenter la cohérence entre la protection des données personnelles, qui diffère actuellement entre les Etats de l’Union. Le projet prévoit donc un mécanisme pour éviter les divergences entre les Cnil.

A cette fin, il oblige les autorités de contrôle, avant de rendre une décision, à soumettre celle-ci au Comité européen et à la Commission européenne. Le Comité rend un avis dont l’autorité requérante doit « tenir compte ». Quant à la Commission, elle rend également un avis dont l’autorité doit tenir « le plus grand compte ».

Si cette dernière n’entend pas se conformer à l’avis de la Commission, elle doit l’en informer par une réponse motivée, et surseoir de nouveau à sa décision pour un délai supplémentaire d’un mois. La Commission européenne peut alors enjoindre à l’autorité de contrôle de suspendre sa mesure pour une durée allant jusqu’à un an, et adopter un acte d’exécution pour statuer sur ce qu’elle considère comme l’application correcte du règlement, « conformément à ses objectifs et exigences ».

Un tel placement des autorités de contrôle sous la tutelle de la Commission peut paraître en contradiction avec l’indépendance qui leur est reconnue par le projet de règlement ! Par ailleurs, il ralentit (jusqu’à plus d’un an de délai) le processus de décision.

Plusieurs milliers d’amendements au projet ont été déposés par des députés européens pour alléger les exigences du texte, souvent sous l’impulsion des lobbys d’entreprises exploitant les données personnelles. L’objectif d’une adoption avant la fin de l’année s’éloigne. Les débats au Parlement européen, ainsi qu’entre gouvernements, promettent d’être vifs dans les prochaines semaines. S’il est adopté, le règlement entrera en vigueur deux ans après sa promulgation.