Opinions

Les nouveaux pouvoirs des Cnil : moins de formalités et plus de sanctions

Par La rédaction, publié le 02 avril 2013

Le futur règlement européen introduit entre autres trois modifications majeures au fonctionnement des différentes Cnil : la documentation des traitements, le guichet unique et les amendes en cas de non-respect de la loi.

Le Parlement européen abordera dans les prochaines semaines l’examen d’un projet de règlement sur les données personnelles. Ce texte, proposé en 2012 par la Commission européenne, a vocation à remplacer notre actuelle loi informatique et libertés (qui date de 1978), et qui a été profondément remaniée en 2004. Le projet de règlement confirme les missions traditionnelles de la Cnil (Commission nationale informatique et libertés) et de ses homologues européennes. Il introduit trois modifications majeures à leur fonctionnement. La première porte sur l’allègement des formalités à mener par les entreprises. Celles-ci n’auront plus à déclarer tous leurs traitements, mais devront les documenter fortement en vue de contrôles sur place par la Commission, qui seront plus fréquents.

Un guichet unique controversé

Le projet prévoit ensuite un guichet unique : pour un traitement de données personnelles d’une entreprise multinationale, seule sera compétente au niveau européen la Cnil du pays où est installé ce traitement. L’entreprise n’aura ainsi plus qu’un seul interlocuteur pour ce traitement, et non 27. Ce volet, en revanche, a plus de mal à passer…

En effet, La Cnil française a fortement critiqué ce guichet unique, aux motifs qu’il réduit en pratique les possibilités de recours du citoyen. Supposons que vous vouliez déposer une réclamation contre un réseau social américain qui aurait installé ses serveurs à Tallinn. Serait-ce vraiment un progrès que de devoir vous adresser à la Commission estonienne ? Par ailleurs, cette compétence unique risque d’inciter les entreprises qui veulent manipuler tranquillement des données personnelles à domicilier leurs traitements dans les pays où la Cnil serait plus laxiste que ses consœurs, ou dotée de moins de moyens d’action. Il y aurait alors un risque de dumping sur la protection des données personnelles.

Des sanctions véritablement dissuasives

Dernier volet : les amendes en cas de non-respect de la loi. Elles s’échelonneront de 250 000 euros (ou 0,5 % du chiffre d’affaires mondial de l’entreprise) pour les infractions les moins graves, à 1 million d’euros (ou 2 % du chiffre d’affaires mondial, pour les infractions les plus graves). Des sanctions réellement dissuasives… Aujourd’hui, l’amende record de la Cnil française a été prononcée contre Google, pour un montant de 100 000 euros. Mais un tel montant est-il vraiment de nature à faire peur aux multinationales, alors qu’il est probablement moins élevé que leurs seuls frais d’avocats ? En revanche, sur des sujets touchant au droit de la concurrence, on a vu récemment la Commission européenne prononcer des sanctions de plusieurs centaines de millions d’euros : là se trouve sans doute la voie à suivre pour susciter une vraie peur du gendarme qui est, comme chacun le sait, le commencement de la sagesse.

L’indispensable autorégulation

Toutefois, Internet et les services numériques étant mondiaux par nature, un règlement européen ne permettra pas de régler tous les problèmes d’un coup de baguette magique. Certes, une législation européenne est indispensable pour affirmer les grands principes que nous, Européens, entendons défendre (consentement de la personne concernée à la collecte de ses données, obligation de sécuriser les données, droit d’opposition…). De même, les Cnil sont irremplaçables pour faire appliquer ces principes dans toutes les situations que l’évolution technologique engendre chaque jour. Pour autant, il reste à faire prendre conscience aux acteurs du numérique de l’intérêt qu’ils ont à s’autoréguler.

En effet, le public est désormais conscient des enjeux de la protection de ses données personnelles, et attend des services qu’il utilise un minimum de respect de ses données et de sa vie privée. Un prestataire prédateur ou désinvolte en paiera le prix sous forme de mauvaise réputation et de perte de clientèle ; au contraire un acteur vertueux et qui le fait savoir verra grossir sa clientèle.

Les débats au Parlement européen promettent d’être vifs, entre les partisans d’un renforcement des mesures de protection des données personnelles d’une part, et les lobbyistes cherchant à diminuer ce niveau de protection d’autre part. La Commission européenne espère une adoption du règlement d’ici la fin de l’année, pour une entrée en vigueur deux ans après sa promulgation.