Joël Giraud
Question N° 116701 au Ministère des Affaires européennes
Question soumise le 16 août 2011
M. Joël Giraud attire l'attention de M. le ministre auprès du ministre d'État, ministre des affaires étrangères et européennes, chargé des affaires européennes, sur la révision de la directive 95-46-CE. Cette directive européenne a été mise en place en 1995 et visait à harmoniser les normes des différents États membres en matière de protection des données personnelles. Le texte reprend en partie les principes et les droits de la loi française informatique et libertés de 1978. Aujourd'hui, une révision de la directive est devenue semble-t-il indispensable étant donné le développement d'Internet à travers les réseaux sociaux, la géolocalisation, la vidéodesription... C'est pourquoi la Commission a engagé cette réforme qui est d'actualité puisqu'elle doit se faire au deuxième semestre 2011 (elle était initialement prévue pour novembre 2010). Un des grands enjeux est la nécessité de soumettre les grandes firmes américaines d'Internet qui développent leurs stratégies dans l'Union au droit communautaire, ce qui est sans doute indispensable. Dans le même ordre d'idée, il est question de ne faire appliquer qu'un seul droit national aux entreprises qui s'implanteraient dans plusieurs pays de l'Union. Il s'agit de simplifier et d'harmoniser les règles existantes et d'éviter la complexité et l'insécurité juridique qu'impliquerait l'application de 27 droits nationaux différents. Si cette mesure parait être une solution, la CNIL attire l'attention sur ce point qui pourrait contenir des failles. En effet, s'il est rendu possible aux firmes de d'implanter en Europe en étant soumises à un seul droit national, il sera aisé pour celles-ci de choisir un État offrant un niveau de protection plus faible. La refonte de la directive 95-46-CE est certes essentielle mais certains points risquent donc de peser sur la protection des droits des citoyens qui est censée être assurée par ce texte. Il lui demande ainsi de lui faire connaître la position du Gouvernement français quant à ces choix de la Commission.
Réponse émise le 20 décembre 2011
1. La Commission s'est engagée dans un processus devant conduire à une modification de la directive 95/46/CE sur la protection des données, afin de répondre aux nouveaux défis liés à l'évolution technologique rapide et à la mondialisation des données à caractère personnel. Elle a publié, le 4 novembre 2010, une communication intitulée « une approche globale de la protection des données à caractère personnel dans l'Union européenne » ouverte à consultation jusqu'à la mi-janvier 2011. Dans ce document, la Commission estime que les principes essentiels de la directive sont toujours valables et qu'il convient de préserver sa neutralité technologique. Pour autant, elle recense plusieurs problèmes auxquels il lui paraît nécessaire de trouver des solutions. En particulier, elle préconise de renforcer la dimension « marché intérieur » de la protection des données et de mieux faire face à la mondialisation, du fait de la sous-traitance accrue du traitement, en renforçant la sécurité juridique. Cette sous-traitance, très souvent assurée en dehors de l'Union, soulève en effet plusieurs problèmes liés au droit applicable au traitement et à l'attribution de la responsabilité y afférente ; ceci suppose, pour la Commission, de clarifier les règles relatives au droit applicable et à l'État membre responsable. Elle rappelle que, dans son premier rapport sur la mise en oeuvre de la directive relative à la protection des données de 2003, elle soulignait déjà que la mise en oeuvre de la disposition relative au droit applicable posait « problème dans plusieurs cas, avec pour résultat l'apparition possible du type de conflit de lois que cet article cherche justement à éviter ». Elle note, dans sa communication, que la situation ne s'est pas améliorée depuis, si bien que les responsables du traitement et les autorités de contrôle de la protection des données ne savent pas toujours clairement quel est l'État membre responsable et quel est le droit applicable lorsque plusieurs États membres sont concernés. Tel est notamment le cas lorsque le responsable du traitement est soumis à des exigences différentes de la part des divers États membres, lorsqu'une entreprise multinationale est établie dans plusieurs États membres ou lorsque le responsable du traitement n'est pas établi dans l'Union, mais fournit ses services à des résidents de l'UE. Cette complexité a crû en raison de la mondialisation et des progrès technologiques : de plus en plus, les responsables du traitement sont conduits à exercer leur activité dans plusieurs pays et juridictions et à fournir des services et prêter assistance 24 heures sur 24. L'Internet permet aux responsables du traitement établis en dehors de l'Espace économique européen (EEE) de fournir plus facilement des services à distance et de traiter en ligne des données à caractère personnel. Il est ainsi souvent difficile de localiser ces données et l'équipement utilisé (par exemple, dans les applications et services relevant de l'« informatique en nuage »). Cependant, la Commission considère que, même si le traitement des données à caractère personnel est confié à un responsable établi dans un pays tiers, les intéressés doivent pouvoir bénéficier de la protection à laquelle ils ont droit en vertu de la charte des droits fondamentaux de l'Union européenne et de la législation de l'UE en matière de protection des données ; en conclusion, la Commission indique examiner la manière dont les dispositions existantes sur le droit applicable pourraient être révisées et clarifiées, notamment les critères actuels de détermination du droit appelé à s'appliquer, en vue d'améliorer la sécurité juridique, de clarifier quel est l'État membre responsable de l'application des règles en matière de protection des données et, en définitive, d'assurer le même niveau de protection à tous les résidents de l'Union concernés, indépendamment du lieu d'établissement du responsable du traitement. Le Conseil justice et affaires intérieures des 24-25 février 2011 a adopté des conclusions accueillant favorablement la communication de la Commission. Dans celles-ci, il indique « être conscient que, du fait de la mondialisation et de l'évolution technologique, il est dans certains cas particulièrement difficile de déterminer la loi applicable et estime que le nouveau cadre juridique devrait par conséquent réglementer de façon très claire la question de la loi applicable dans l'Union européenne, de façon à permettre aux personnes concernées d'exercer réellement leurs droits et à garantir la sécurité juridique aux responsables du traitement se livrant à des activités transfrontières ». La Commission devrait proposer d'ici à la fin janvier 2012 un projet de révision du cadre sur la protection des données personnelles. En tout état de cause, le Gouvernement reconnaît la complexité et les enjeux qui s'attachent à la définition du droit applicable, dans le contexte notamment de l'essor d'Internet. Il veillera au renforcement de la sécurité juridique concernant le droit applicable aux entreprises installées dans plusieurs États membres ou qui développent leur stratégie dans l'Union.
Aucun commentaire n'a encore été formulé sur cette question.