Données personnelles : les agences de protection sont-elles équipées face à la révolution numérique ?

L’intervention de la secrétaire d’État s’inscrit pourtant dans un contexte de renouveau législatif, et pour cause. Les textes, telles que la directive européenne 95/46/CE, les organes de contrôle comme la CNIL, fondée en 1978, et les accords des premiers jours d’Internet ne suffisent plus. En octobre 2015, la Cour de Justice de l’Union européenne a invalidé l’accord du Safe Harbor avec les Etats-Unis et marqué ainsi son intention de raffermir la protection des données personnelles.

La CNIL : un exemple à suivre… et à surpasser

Quand, en France, la loi informatique et libertés a créé la CNIL en 1978, il s’agissait d’une nouveauté mondiale en matière de protection des citoyens en ligne. Mais celle-ci a-t-elle passé l’épreuve du temps ?

En terme de sanctions, la CNIL dispose de quatre options : l’avertissement public, l’injonction de cession, le retrait d’autorisation et la sanction pécuniaire, d’un montant maximal de 150 000€ (300 000€ en cas de récidive). En cas d’atteinte grave et immédiate au droits et libertés, elle peut en plus ordonner des mesures de sécurité à l’organe juridictionnel compétent. Là se situe le problème : aussi influente que la CNIL ait été historiquement, son pouvoir répressif est faible voire désuet.

Ces dix dernières années, la CNIL n’a prononcé la sanction maximale qu’une seule fois, en janvier 2014 envers Google. L’entreprise s’est vu notamment reprocher de ne pas informer suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, de ne pas chercher à obtenir le consentement des utilisateurs préalablement au dépôt de cookies ou encore de ne pas fixer de durées de conservation pour l’ensemble des données qu’elle traite. Jusqu’alors, la sanction la plus élevée avait été de 100 000€ (également envers Google en mars 2011). La majorité des sanctions pécuniaires ne dépassent pas les 10 000€, et sont de toute façon moins courantes que les avertissements publics ou non publics.

Cependant, la possibilité de recourir à d’autres organes juridictionnels constitue une des forces de la CNIL au sein de l’UE. Le 21 septembre 2015 par exemple, la CNIL a rejeté le recours de Google au sujet du droit à l’oubli. La CJUE avait ordonné au moteur de recherche d’appliquer le déréférencement aux citoyens européens qui demandaient d’effacer leur nom des résultats de recherche. Google avait accepté cette requête pour les extensions nationales mais refusait d’appliquer ce droit à la terminaison .com au nom du droit à l’information du public, y voyant un acte de censure. Le rejet de cet argument par la CNIL a obligé Google à obéir au droit européen et s’est basé sur une collaboration étroite entre l’UE et les autorités nationales.

Il relève donc du devoir de la CNIL d’actualiser ses pouvoirs de sanction et de renforcer par cela le socle de protection de l’UE.

Le G29 et les agences européennes, rempart contre l’hégémonie américaine ?

Au niveau européen, la CNIL a inspiré la création du G29.

Ce groupe de travail rend des avis et conseille la Commission européenne sur toute loi affectant les libertés en matière de protection des données personnelles. Par exemple, le 16 octobre 2015, le G29 s’est réuni pour réagir à l’affaire Safe Harbor. Il a demandé aux autorités européennes et américaines d’établir des mécanismes contraignants et transparents sous peine d’actions répressives coordonnées si aucune solution n’était créée avant février 2016.

Le G29 est doublé d’un organe de contrôle, le Contrôleur Européen de la Protection des Données (CEPD). Le CEPD contrôle que les institutions communautaires respectent le droit des citoyens lors du traitement de données personnelles. Son rôle se divise en deux services : l’entité contrôle et mise en application et l’entité politique et consultation. La première contrôle le respect des règles par les organes de l’Union contre lesquels les citoyens peuvent porter plainte auprès du CEPD.

La seconde entité conseille les organes européens pour toutes les propositions législatives touchant aux questions de protection des données. Dans son communiqué du 11 septembre, le CEPD a par ailleurs annoncé la mise en place d’un comité d’éthique. Ce comité viserait à rétablir une balance éthique et responsable dans des législations portées par les perspectives très techniques de l’industrie.

Le troisième élément de protection des données est le projet de réforme proposé par la Commission le 25 janvier 2012, encore en discussion.

Une protection des données renforcée au niveau européen ?

En cas d’adoption, la réforme des règles européennes sur la protection des données personnelles renforcerait ainsi le concept de responsabilité au niveau des données. D’après la version actuelle du texte, c’est le responsable de traitement qui doit prouver le consentement de l’utilisateur. Ensuite, il doit communiquer à la personne concernée toute information sur ses données sous une forme claire et adaptée. Enfin, il rend obligatoire que toutes les mesures internes faites par un responsable de traitement soit documentées pour vérifier leur légalité. Par ailleurs, l’application de ces règles est étendue aux données de toute personne résidant dans l’UE même par un responsable de traitement à l’étranger.

Une des forces majeures de cette réforme et de l’UE réside dans son poids sur la balance économique. Un amendement proposé dans le rapport du député européen Jan Philipp Albrecht prévoit que toute entreprise qui désobéit aux obligations du règlement malgré les avertissements se verrait infliger une amende par l’autorité de contrôle. Cette pénalité atteindrait 100 millions d’euros ou 5% du chiffre d’affaire annuel mondial au maximum, en retenant le chiffre le plus élevé. Dans son intervention sur France Inter, Axelle Lemaire promet l’intégration des négociations de Bruxelles dans le texte de loi français.

Vers des sanctions accrues ?

Cette hausse considérable du pouvoir des agences se note à travers toute l’Europe avant même l’application de l’amendement. En mai dernier, les Pays-Bas ont voté une nouvelle loi imposant aux responsables du traitement de données personnelles un nombre d’obligations. Elles doivent notamment informer l’agence de protection (la CBP) et les personnes concernées des moyens et des buts de ce traitement. Surtout, les sanctions en cas de violation du Dutch Data Protection Act ont été augmentées : 810 000 € ou 10% du chiffre d’affaires. La Belgique a également vu une hausse dans ses amendes qui montent aujourd’hui à un maximum de 550 000 €. D’autres pays démontrent l’urgence de mesures communautaires plus fortes : en Suède, les amendes ne dépassent pas les 5 000 €, ou encore les 3 300 € au Danemark (25 000 DKK).

En France, la CNIL avait émis en janvier une série de propositions concernant la loi Lemaire dont peu ont été retenues. Elle demandait notamment le renforcement des liens entre les pouvoirs publics et la CNIL en renforçant les possibilités de saisine. Une autre requête était l’accélération des procédés en cas d’urgence particulière, par exemple en étendant le champ du référé et en créant une action collective.

Il s’agit là de pistes de réflexion à entamer au niveau européen : à côté de l’entrée en vigueur de sanctions considérablement plus élevées pour protéger les citoyens, comment ces derniers peuvent-ils s’approprier ces instruments de manière plus souple, accessible et sûre ?

Article réalisé dans le cadre d’un projet collectif avec Sciences Po Paris, dont les participants sont Aurore Taillet, Astrid Voorwinden et Hirotoshi Yamakawa.