Le G29 adopte un avis sur le projet de règlement européen réformant le cadre général sur la protection des données
RSS CNIL - , 18/04/2012
Le Groupe de Travail G29 a adopté, lors de sa séance plénière des 22 et 23 mars, un avis sur les propositions de réforme présentées par la Commission Européenne le 25 janvier 2012. De manière générale, la CNIL accueille favorablement les orientations de cet avis qui reflète les positions qu'elle a développées jusqu'à présent. Si l'avis approuve les avancées positives du projet de réforme, il souligne cependant la nécessité d'y apporter des clarifications et des améliorations.
Le G29 se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Plus particulièrement, le G29 soutient les dispositions incitant les responsables de traitement à prendre des mesures protectrices tout au long du cycle de vie de l'information (études d'impact, protection dès la conception et par défaut, mise en place de BCR, notification des failles de sécurité, désignation de délégués à la protection des données) et celles militant pour une meilleure protection des personnes concernées (droit à la transparence, droit à la portabilité, droit à l'oubli).
Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations.
Concernant la compétence des autorités en cas de pluralité d'établissements dans l'Union européenne, le G29 est favorable à la création d'un concept de guichet unique pour les entreprises avec une autorité chef de file devant coopérer avec les autres autorités grâce au mécanisme dit de "cohérence" et agissant en accord entre elles et ce, à partir du moment où les personnes situées dans plusieurs Etats membres sont impactées.
Cette approche devrait permettre un exercice effectif des droits de recours des citoyens, leur donnant la possibilité de se défendre devant le tribunal de leur résidence quelque soit la procédure civile, pénale ou administrative choisie.
Toutefois, afin que ce mécanisme puisse fonctionner, l'identification de l'établissement principal d'une entreprise doit être impérativement clarifiée. La définition de l'établissement principal est en effet essentielle comme critère de désignation de l'autorité chef de file et éventuellement, de détermination des responsabilités des parties impliquées.
Pour ce qui concerne les transferts internationaux de données, le G29 considère que le champ d'application des dérogations aux règles d'encadrement des transferts est trop large et souhaite les limiter aux transferts non massifs et non répétitifs. Le G29, comme la CNIL, appellent à supprimer la possibilité de recourir à des instruments non contraignants et à consulter obligatoirement le comité européen qui remplacera le G29, en cas de décisions d'adéquation prises par la Commission européenne.
Par ailleurs, le G29 a exprimé ses inquiétudes sur l'importance du rôle de la Commission européenne, le recours à des actes d'exécution ou actes délégués étant prévu dans plus de 40 cas, ainsi que par son implication dans la procédure de mise en cohérence des positions des autorités nationales pour un cas donné. Le G29 propose une gouvernance plus équilibrée fondée sur une meilleure ventilation des pouvoirs normatifs entre les autorités de contrôle, le comité européen (ex G29) et la Commission européenne.
L'avis du G29 reflète également les positions de la CNIL sur d'autres points nécessitant des éclaircissements, notamment sur la possibilité de faire valoir ses droits directement auprès d'un tiers dans le cadre du droit à l'oubli, sur la reconnaissance de l'adresse IP comme donnée personnelle, sur l'inclusion de la proportionnalité et de la modulation des sanctions en fonction des efforts "d' accountability" ou encore sur l'obligation d'information entre autorités de contrôle en cas d'événements impactant leurs territoires respectifs.
S'agissant de la directive en matière de coopération policière et judicaire en matière pénale, l'avis regrette le manque d'ambition de la Commission européenne et souligne la nécessité d'en renforcer les dispositions. En particulier, le G29 regrette le manque de cohérence entre la directive et le règlement au niveau des principes généraux de protection des données (conservation des données, transparence), des droits des personnes concernées ou des obligations qui incombent aux responsables de traitement.
Il souhaite également une meilleure complémentarité entre les projets de directive et de règlement, notamment afin de clarifier leurs champs d'application respectifs.
Enfin, le G29 recommande que soit menée une analyse approfondie des coûts supplémentaires et des modes de financement pour les autorités de protection des données qui devront mener à bien leurs missions au regard des propositions de texte et appelle les membres du Conseil et du Parlement Européen à améliorer les deux propositions pour la protection des données personnelles des quinze prochaines années.