Les évolutions attendues…
Alors que la secrétaire d’État au Numérique, Axelle Lemaire, a présenté en janvier aux députés les grands axes du futur projet de loi numérique, la Cnil a récemment rendu publiques ses propositions.
Le futur texte consacré au numérique, qui pourrait être présenté d’ici l’été, comprendra un renforcement de la protection de la vie privée et donc une révision de la loi Informatique et Libertés du 06 janvier 1978. En vue de l’élaboration du projet, la Commission nationale Informatique et libertés (Cnil) a avancé ses propositions qui concernent les principaux acteurs de l’écosystème «Informatique et libertés», c’est-à-dire les personnes concernées par les traitements (citoyens et consommateurs), les responsables de traitements (entreprises et pouvoirs publics) et l’autorité administrative de contrôle (la Cnil). Ces préconisations s’inscrivent dans le cadre du futur règlement européen sur la protection de la vie privée, dont l’adoption est attendue pour la fin de cette année.
Effectivité des droits pour les personnes
En matière de protection des données personnelles, la Cnil propose de modifier l’article 39 de loi Informatique et Libertés pour donner aux personnes un accès aux informations relatives à l’origine de la collecte et la durée de conservation de leurs données, sur demande effectuée par voie électronique, auprès du responsable de traitement. Elle préconise également de renforcer l’e-réputation des mineurs en introduisant dans la loi, le droit d’obtenir l’effacement des données relatives à des mineurs, sans devoir invoquer un motif légitime, comme prévu actuellement. Autrement dit, une sorte de «droit à l’oubli», pour les mineurs, grands utilisateurs des réseaux sociaux.
Transferts de données hors UE
Côté entreprises, l’organisme plaide pour une simplification des formalités préalables en cas de transfert des données hors de l’Union européenne. En 2013, la Cnil a traité quelque 1 500 demandes d’autorisation de transferts de données hors UE. Afin d’alléger ce formalisme tout en garantissant un niveau de protection équivalent, la Commission propose d’accorder aux entreprises qui ont conclu des « BCR » (binding corporate rules ou règles d’entreprise contraignantes) une autorisation unique qui couvrirait leurs transferts.
Adaptation des missions de la Cnil
Lorsqu’un traitement de données est mis en œuvre illégalement ou porte une atteinte grave à la vie privée, il est possible, estime la Cnil, d’améliorer la procédure actuelle en lui donnant la possibilité de prononcer une suspension du traitement pendant le temps de la procédure de mise en demeure. Il est également envisagé d’accélérer le déclenchement d’une procédure de sanction pécuniaire. En effet, actuellement, lorsque la situation est particulièrement urgente ou que le manquement ne peut plus être corrigé, comme par exemple une faille de sécurité ponctuelle, le président de la Cnil peut décider de saisir directement la formation restreinte (formation contentieuse de la Cnil) sans mise en demeure préalable du responsable du traitement en cause. Toutefois, dans ce cas de figure, la formation restreinte ne peut prononcer qu’un avertissement, le cas échéant rendu public. La Commission souhaite donc que son président puisse, dans ces situations, désigner directement, sans mise en demeure préalable, un rapporteur aux fins de proposer à la formation restreinte le prononcé d’une sanction pécuniaire, le cas échéant publique, notamment, lorsque le manquement constaté n’appelle plus, à la date de la décision, de mesure de correction. Enfin, la Cnil propose une forte augmentation de son pouvoir de sanctions financières en se basant sur la version actuelle du projet de règlement européen qui résulte du compromis adopté par le Parlement européen, à savoir : 5 % du chiffre d’affaires mondial dans la limite d’un milliard d’euros. Aujourd’hui le montant maximal des sanctions est fixé à 150 000 euros. Le projet de loi numérique, permettra certainement d’anticiper, au niveau national, certaines évolutions du futur règlement européen. Il devrait aussi transposer en droit interne la notion de coresponsabilité de la directive du 24 octobre 1995, ce qui pourrait mettre fin aux difficultés quant à la détermination du responsable de traitement et des sous-traitants. La consécration de ce statut de coresponsabilité permettrait ainsi de mieux refléter la réalité de l’implication des différents acteurs dans la mise en œuvre d’un traitement.
nicolas.samarcq.juriste
Informatique et libertés