OBSERVATIONS
L
Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP ») constitue un cadre général de protection des données personnelles au sein de l'Union européenne applicable également aux opérateurs installés hors de l'Union européenne qui offrent leurs biens et services aux Européens, destiné à lever les obstacles aux flux de données à caractère personnel au sein de l'Union et à assurer une application cohérente et homogène des règles de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données.
M
Plus particulièrement,
N
- il renforce les droits des personnes (droit d'accès, droit de rectification, droit à la limitation du traitement) et en facilite l'exercice en définissant l'expression du consentement libre et pleinement informé, avec des conditions particulières pour les enfants ;
O
- il ouvre de nouveaux droits aux personnes, en particulier un « droit à la portabilité » des données, qui permet à une personne de récupérer, sous une forme facilement réutilisable, les données qu'elle a fournies, un droit d'opposition à la réutilisation des données personnelles et un droit à l'effacement des données ou « droit à l'oubli » ;
P
- il prévoit la faculté d'introduire des actions collectives en matière de protection des droits et libertés des personnes en matière de protection des données et un droit à réparation du dommage matériel ou moral causé par une violation des règles qu'il définit ;
Q
- il supprime l'autorisation préalable des traitements de données à caractère personnel et prévoit que les responsables de ces traitements doivent mettre en oeuvre des mesures techniques et organisationnelles pour s'assurer, et être en mesure de démontrer, que le traitement des données est effectué en conformité avec les règles applicables en matière de collecte, de traitement, de conservation et de sécurité de ces données ; il prévoit toutefois que les entreprises employant moins de 250 salariés peuvent être dispensées de certaines de ces obligations sauf si les traitements qu'elles effectuent portent sur certaines données sensibles et que les traitements présentant un risque élevé pour les droits et libertés des personnes doivent faire l'objet d'une analyse d'impact préalable ;
R
- il révise le rôle des autorités nationales de contrôle dont il conforte l'indépendance et les moyens, renforce les pouvoirs coercitifs et organise leur coopération en cas de traitements transfrontaliers ;
S
- il encadre l'exportation des données personnelles vers des pays tiers en la subordonnant à une décision d'adéquation du niveau de protection prononcée par la Commission européenne ou l'existence de garanties appropriées ;
T
- il laisse des « marges de manoeuvre » aux États membres pour maintenir ou introduire des conditions supplémentaires pour le traitement des « données sensibles », n'exclut pas des législations sectorielles nationales spécifiques et reconnaît aux États membres, pour l'exercice de missions d'intérêt public ou relevant de l'autorité publique, la possibilité de limiter certains droits, dès lors qu'il s'agit de mesures nécessaires et proportionnées au regard de l'objectif poursuivi.
1a
La directive UE 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales harmonise le droit européen en la matière en leur étendant les principes fixés par le RGPDP, sous réserve de restrictions justifiées par la nature des données et des finalités des traitements dont elles font l'objet.
1b
Plus particulièrement,
1c
- elle crée un droit à l'information de la personne dont les données sont traitées ;
1d
- elle lui permet d'exercer directement les droits reconnus à la personne concernée (droit à l'information, droits d'accès, de rectification et d'effacement), sauf si restrictions justifiées par des motifs qu'elle encadre ;
1e
- elle encadre les transferts de ces données vers des pays n'appartenant pas à l'Union européenne.
1f
Vu l'article 2 de la déclaration des droits de l'Homme et du citoyen,
1g
Vu le traité sur le fonctionnement de l'Union européenne, notamment l'article 16,
1h
Vu la Charte sur les droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,
1i
Vu le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (dit « RGPDP »),
1j
Vu la directive (UE) 2016/680 relative aux traitements mis en oeuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales,
2a
Vu la résolution européenne du Sénat n° 105 (2011-2012),
2b
Vu la résolution européenne du Sénat n° 110 (2011-2012),
2c
Vu la résolution européenne du Sénat n° 108 (2012-2013),
2d
Vu le projet de loi adopté par l'Assemblée nationale relatif à la protection des données personnelles,
2e
La commission des affaires européennes fait les observations suivantes :
2f
- elle constate que l'article 1er du projet de loi charge la CNIL d'accompagner les responsables de traitements de données à caractère personnel par la mise en place d'éléments de droit souple (lignes directrices, recommandations et référentiels) et prévoit, en matière de sécurité des données, qu'elle élabore des règlements types de sécurité et qu'elle peut procéder à une évaluation préalable des risques et certifier des organismes compétents en la matière, autant de mesures, prévues par le règlement, qui sont de nature à faciliter la tâche des entreprises et des administrations ;
2g
- elle regrette toutefois le caractère tardif des mesures d'application du RGPDP, qui est susceptible de soulever des difficultés, en particulier pour les collectivités territoriales qui n'ont pas toujours pu anticiper les nouvelles obligations qui s'imposeront à elles dans quelques semaines, sans compter qu'elles représentent pour elles un coût non négligeable ;
2h
- elle observe en revanche avec satisfaction que les entreprises employant moins de 250 salariés sont dispensées de certaines obligations administratives dès lors que le traitement de données à caractère personnel constitue pour elles une activité auxiliaire ;
2i
- elle constate que le projet de loi maintient des régimes spéciaux et des règles nationales pour les données les plus sensibles, sans excéder les marges de manoeuvre ouvertes par le règlement, dans le sens du maintien du haut niveau de protection nationale en la matière souhaité par le Sénat ;
2j
- elle observe toutefois que certains traitement de données publics sont également utilisés à des fins de renseignement, mais que le projet de loi est peu explicite quant aux conditions d'une telle utilisation ;
3a
- elle constate avec satisfaction que toute personne résidant en France peut saisir la CNIL en cas d'utilisation irrégulière de ses données personnelles, même si le responsable du traitement n'est pas établi en France, ce qui est de nature à assurer une effectivité et une proximité plus grande à la protection des droits des personnes physiques sur le territoire national ;
3b
- elle insiste sur la nécessité impérative de s'assurer, tant au niveau national qu'au niveau européen, de la protection effective des données à caractère personnel et des droits des personnes en cas de transfert vers des pays tiers ;
3c
- elle relève que l'âge du consentement autonome des mineurs fixé à 16 ans par le règlement a été abaissé à 15 ans par l'Assemblée nationale ;
3d
- elle considère qu'il convient d'avoir une approche mesurée en la matière, qui tienne compte de la forte appétence des adolescents pour les échanges sur internet et de la nécessité qu'ils aient une conscience suffisante des risques associés à la communication et au traitement incontrôlés de leurs données personnelles ;
3e
- elle constate que l'Assemblée nationale a introduit la possibilité d'obtenir, dans le cadre d'actions de groupe exercées en France au nom de résidents français, non seulement la cessation du manquement aux obligations relatives à la protection des données personnelles, mais également des réparations pécuniaires ;
3f
- elle observe que cette faculté de demander une indemnisation n'est pas prévue par le règlement européen mais que celui-ci ne l'interdit pas ;
3g
- elle constate au surplus que cette faculté s'inscrit dans la logique d'autres actions de groupe prévues par le droit européen ;
3h
- elle estime toutefois qu'il serait préférable que cette faculté soit rapidement prévue et encadrée par un texte européen qui prévoirait également un renforcement des conditions d'enregistrement des associations autorisées à conduire des actions collectives en matière de protection des données personnelles auprès de l'autorité nationale de surveillance.