Trouver un compromis entre la protection des personnes et la libre circulation des marchandises aurait pu être l’objectif principal de cette proposition de règlement. Faut-il encore que les intérêts de tous les acteurs concernés convergent dans le même sens.
Des lobbyings influents, plus de 3500 amendements déposés, des élections à venir, il n’en fallait pas plus pour que soient suspendues les discussions au Parlement européen. Le pendant politique de ce projet de texte pèse très lourd sur son devenir au sein des instances communautaires. C’est notamment la balance des intérêts économiques et des finalités protectrices de la personne qui ne trouve pas d’équilibre parfait au travers de ce texte.
Parmi les 28 États membres de l’Union, seules l’Allemagne et l’Autriche semblent être les plus favorables à adopter un texte davantage protecteur de la personne, tandis que la France quant à elle reste timide dans ses positions.
Finalement, il aura fallu attendre le vote au Parlement du 21 octobre 2013 pour s’assurer que le projet de texte ne soit pas enterré. Le challenge est désormais d’accélérer les débats de sorte à adopter la proposition avant les prochaines élections. Néanmoins faute de compromis, les chances de voir ce projet aboutir sans être vidé de sens restent minces avec un bilan politique mitigé voire défavorable.
Mais revenons-en au projet de texte lui-même. Lors du débat-conférence organisé à la Faculté de droit de l’Université de Montréal, il ressort principalement que la proposition de règlement est particulièrement lacunaire. Selon le groupe d’experts, les grosses difficultés du texte en l’état, au-delà du fait qu’il soit imposant et complexe (135 pages et 139 Considérants), proviennent du fait qu’il ne tranche pas, ni quand il s’agit de définir et qualifier les données personnelles, ni quand il s’agit de prévoir un cadre de mise en œuvre suffisant.
La question de la qualification des données à caractère personnel est pourtant centrale. Dans la version actuelle du texte, ces données sont tantôt comprises comme étant patrimoniales notamment en matière de libre circulation. Les données personnelles s’entendent dès lors comme représentant une valeur marchande pouvant être l’objet de transactions commerciales. Tantôt, c’est une valeur intrinsèque à la personne qui entre cette fois dans le champ de la protection des droits notamment la protection de la vie privée.
Notons qu’une définition claire et précise des données personnelles est inexistante dans le texte. Seule la personne concernée par ces données à caractère personnel est définie. Puis vient la question du consentement. La proposition de règlement fait quelques avancées sur ce point notamment sur le retrait du consentement. Pour autant, on peut relever certains hiatus linguistiques entre la version française et la version anglaise. En effet, le retrait du consentement n’aurait pas les mêmes conséquences dans les deux versions. Dans la version anglaise, le retrait du consentement entraîne l’interdiction du traitement de la donnée postérieur au retrait (Article 7 al 3 : « The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal »). Dans la version française au contraire, le traitement futur des données fondée sur le consentement passé n’est pas empêché par le retrait du consentement (Article 7 al 3 : « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné »).
Sur la notion de droit à l’oubli, les dispositions de la proposition de règlement apparaissent confuses. Les intervenants ont relevés notamment l’ambiguïté entre les notions d’effacement et celle d’oubli. Ils soulignent également l’absence de clarté dans le cadre de mise en œuvre et l’imprécision des outils de contrôle.
Enfin, les critiques formulées à l’égard du texte par les experts sont tournées vers la question de la mise en œuvre de ce texte et sa portée en pratique. Au problème des règles de gouvernance, le texte choisit d’opposer la règle du « guichet unique » au risque de permettre aux acteurs économiques le loisir de faire leur shopping parmi les autorités nationales de contrôle des États membres. Les règles de déclaration en seraient simplifiées. On sait pour autant que certaines de ces autorités de contrôle sont plus exigeantes et possèdent un niveau de contrôle plus coercitif que d’autres qui au contraire se contentent de rappeler à l’ordre les intéressés sans sanction équivalente.
Les autorités nationales de contrôle réputées pour être efficaces s’opposent fermement à cette règle. A ce titre, la Commission Nationale de l’Informatique et des Libertés (CNIL) tente de faire imposer la vision française plus restrictive et propose d’instaurer une procédure de co-décision qui impliquerait que les décisions seraient prises par une seule autorité de contrôle mais seulement après un processus de co-décision avec les autorités nationales concernées. Ce serait le cas si une des parties serait de nationalité d’un autre État. Ce processus permettrait d’atténuer les effets de la règle du « guichet unique ».
Concernant la sanction, le texte reste insuffisant dans la mesure où il ne prévoit que des sanctions administratives. Bien que le plafond soit fixé à 2% du chiffre d’affaire, des sanctions pénales auraient été plus efficaces dans ce domaine. En revanche, le texte marque une avancée en matière d’action en justice notamment en permettant les actions collectives.
Pour conclure, la proposition de règlement possède de nombreuses lacunes. Il convient néanmoins de féliciter les points positifs de ce texte, notamment la volonté de faire progresser la matière au sein de l’Union européenne. Le choix du format règlementaire est en soit particulièrement caractéristique de cette volonté d’harmonisation.
Notons qu’en parallèle un projet de directive est en discussion portant sur la protection des données personnelles en matière policière.