Entretien avec la présidente de la Cnil sur la protection des données personnelles

Isabelle Falque-Pierrotin, présidente de la Cnil, fait le point sur la réforme de la réglementation européenne en matière de protection des données personnelles actuellement en débat au Parlement et au Conseil européens.

Isabelle Falque-Pierrotin, présidente de la Cnil (Commission nationale de l’informatique et des libertés), s'intéresse ici plus particulièrement aux conséquences de cette réglementation européenne pour les entreprises, avant d'évoquer les implications pour les citoyens et pour les autorités nationales telle celle qu'elle préside. Contrairement à une directive, aucune transposition en droit national n’est nécessaire. Une fois le texte adopté, il sera appliqué dans toute l’Union européenne et il se substituera, en France, à la loi Informatique et libertés d'ici à 2015.

La législation européenne sur la protection des données personnelles s’appliquera-t-elle à toutes les entreprises ?

Isabelle Falque-Pierrotin : Oui. Quelle que soit leur taille, toutes les entreprises européennes qui utilisent des traitements de données personnelles sont concernées. Même si certaines dispositions ont l’air d’être conçues pour les grandes sociétés de l’internet.

Quels seront les bénéfices de ce nouveau règlement pour les entreprises ?

Tout un pan du règlement peut être analysé comme simplifiant la vie des entreprises en allégeant tout le poids administratif des formalités qui existent aujourd’hui. La position de Viviane Reding est de préconiser une seule loi, une seule autorité compétente, un guichet unique pour les entreprises. Au lieu de faire des démarches dans 27 pays, les entreprises ne les feront plus que dans un seul. Et elles n’auront plus à effectuer de déclarations préalables de leurs fichiers de données personnelles auprès de notre Commission, sauf dans un nombre très restreint de cas. Nous sommes dans une logique de l’offre et tout ce qui peut simplifier le dispositif est le bienvenu.

De votre point de vue de régulateur, quels sont les points positifs ?

Le nouveau règlement veut s'insérer dans le quotidien des entreprises à travers des outils plus opérationnels qui les obligent à décliner les principes généraux du règlement en actions concrètes. Ce qui est positif. Par exemple, elles sont incitées à mettre en place des mécanismes d’audit, à former les salariés à la protection des données personnelles et à adopter un correspondant informatique et liberté (ou CIL). Nous sortons du sort du stade incantatoire de la protection des données en fournissant aux responsables une sorte de boîte à outils opérationnelle afin qu'ils mettent en œuvre les dispositions du règlement.

Quels sont les risques pour les entreprises qui n’utiliseraient pas ces outils ?

Cela reste à définir. Il y a une différence importante de philosophie entre les Anglo-Saxons et les autres Européens. Pour les premiers, le fait de se doter de ces outils suffit en soi à assurer la conformité des entreprises, ce qui, pour les seconds, est trop restreint. Pour ces derniers, l’ « accountability » (responsabilisation des entreprises – NDLR)  aide à la conformité des entreprises mais elle ne la garantit pas. Le régulateur devra, dans tous les cas, contrôler le respect de l'ensemble des principes. On construit actuellement la législation du XXIe siècle. L’enjeu est donc d’arriver à moderniser notre dispositif, mais il ne faut pas abandonner ce qui fait la spécificité de l’Europe par rapport au reste du monde. La protection des données personnelles est un atout et non une faiblesse. Une bataille se prépare au Parlement et au Conseil européens sur ce sujet de l’« accountability », notamment.

Ce règlement ne donnera-t-il pas lieu à une concurrence entre les différents pays européens ?

Si. Certains éléments dépassent le périmètre de la Cnil et relèvent plus généralement d’un enjeu de compétitivité. Le système proposé est très centralisé, au bénéfice de quelques autorités qui serviront de guichet unique aux entreprises. Par exemple, ce sera probablement l’autorité irlandaise qui jouera ce rôle pour Google ou Facebook. Ce dispositif favorisera la localisation des activités qui gèrent beaucoup de données dans les pays européens qui seront les plus souples dans l’interprétation du règlement. Avec des conséquences en termes d’emploi et de croissance liée au numérique. En réalité, le règlement favorise une concurrence intracommunautaire. Or, je pense qu'aujourd'hui, l’Europe doit surtout se battre vis-à-vis de l’extérieur, car la concurrence est très forte sur ce sujet face à la zone Apec (Asie-Pacifique). De plus, tout ce qui nous fragilise en intracommunautaire n’est pas positif.

Quelles sont les conséquences de cette centralisation sur la défense des droits des citoyens ?

Le règlement va trop loin dans la centralisation du dispositif. Les autorités nationales voient leur rôle extrêmement réduit alors qu’elles sont plus proches du terrain que la Commission européenne. Cela envoie un signal politique négatif aux citoyens. En cas de problème avec Facebook, un internaute français déposera sa plainte à la Cnil, qui informera l’autorité irlandaise, laquelle prendra une décision. En cas de désaccord, le G29 (le système de coopération des Cnil) sera sollicité. Mais c’est l’autorité irlandaise qui sera compétente juridiquement et qui prendra la décision finale. Ce processus est très complexe pour une seule plainte...

Cette manière de porter plainte ne vous paraît pas viable ?

Non. Le traitement des données personnelles est une matière sensible marquée par des spécificités nationales fortes. Quand on apprécie la légalité d’un traitement, on le fait en fonction de la loi Informatique et libertés mais aussi du droit de la santé, de la sécurité sociale ou du code pénal. Une fois le nouveau règlement adopté, l’autorité irlandaise l'appliquera mais elle devra aussi tenir compte de toutes les lois sectorielles de tous les pays. Cela ne paraît pas réaliste.   Source : http://pro.01net.com Voir le site de la CNIL : www.cnil.fr

Crée le 28 mars 2012 par AUFFRANC Marjorie. Dernière mise à jour le 28 mars 2012


HAUT