En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Les nouveaux pouvoirs des Cnil : moins de formalités et plus de sanctions

Le futur règlement européen introduit entre autres trois modifications majeures au fonctionnement des différentes Cnil : la documentation des traitements, le guichet unique et les amendes en cas de non-respect de la loi.

laisser un avis
Le Parlement européen abordera dans les prochaines semaines l’examen d’un projet de règlement sur les données personnelles. Ce texte, proposé en 2012 par la Commission européenne, a vocation à remplacer notre actuelle loi informatique et libertés (qui date de 1978), et qui a été profondément remaniée en 2004. Le projet de règlement confirme les missions traditionnelles de la Cnil (Commission nationale informatique et libertés) et de ses homologues européennes. Il introduit trois modifications majeures à leur fonctionnement. La première porte sur l’allègement des formalités à mener par les entreprises. Celles-ci n’auront plus à déclarer tous leurs traitements, mais devront les documenter fortement en vue de contrôles sur place par la Commission, qui seront plus fréquents. 

Un guichet unique controversé

Le projet prévoit ensuite un guichet unique : pour un traitement de données personnelles d’une entreprise multinationale, seule sera compétente au niveau européen la Cnil du pays où est installé ce traitement. L’entreprise n’aura ainsi plus qu’un seul interlocuteur pour ce traitement, et non 27. Ce volet, en revanche, a plus de mal à passer…
En effet, La Cnil française a fortement critiqué ce guichet unique, aux motifs qu’il réduit en pratique les possibilités de recours du citoyen. Supposons que vous vouliez déposer une réclamation contre un réseau social américain qui aurait installé ses serveurs à Tallinn. Serait-ce vraiment un progrès que de devoir vous adresser à la Commission estonienne ? Par ailleurs, cette compétence unique risque d’inciter les entreprises qui veulent manipuler tranquillement des données personnelles à domicilier leurs traitements dans les pays où la Cnil serait plus laxiste que ses consœurs, ou dotée de moins de moyens d’action. Il y aurait alors un risque de dumping sur la protection des données personnelles.

Des sanctions véritablement dissuasives

Dernier volet : les amendes en cas de non-respect de la loi. Elles s’échelonneront de 250 000 euros (ou 0,5 % du chiffre d’affaires mondial de l’entreprise) pour les infractions les moins graves, à 1 million d’euros (ou 2 % du chiffre d’affaires mondial, pour les infractions les plus graves). Des sanctions réellement dissuasives… Aujourd’hui, l’amende record de la Cnil française a été prononcée contre Google, pour un montant de 100 000 euros. Mais un tel montant est-il vraiment de nature à faire peur aux multinationales, alors qu’il est probablement moins élevé que leurs seuls frais d’avocats ? En revanche, sur des sujets touchant au droit de la concurrence, on a vu récemment la Commission européenne prononcer des sanctions de plusieurs centaines de millions d’euros : là se trouve sans doute la voie à suivre pour susciter une vraie peur du gendarme qui est, comme chacun le sait, le commencement de la sagesse.

L’indispensable autorégulation

Toutefois, Internet et les services numériques étant mondiaux par nature, un règlement européen ne permettra pas de régler tous les problèmes d’un coup de baguette magique. Certes, une législation européenne est indispensable pour affirmer les grands principes que nous, Européens, entendons défendre (consentement de la personne concernée à la collecte de ses données, obligation de sécuriser les données, droit d’opposition…). De même, les Cnil sont irremplaçables pour faire appliquer ces principes dans toutes les situations que l’évolution technologique engendre chaque jour. Pour autant, il reste à faire prendre conscience aux acteurs du numérique de l’intérêt qu’ils ont à s’autoréguler.
En effet, le public est désormais conscient des enjeux de la protection de ses données personnelles, et attend des services qu’il utilise un minimum de respect de ses données et de sa vie privée. Un prestataire prédateur ou désinvolte en paiera le prix sous forme de mauvaise réputation et de perte de clientèle ; au contraire un acteur vertueux et qui le fait savoir verra grossir sa clientèle.
Les débats au Parlement européen promettent d’être vifs, entre les partisans d’un renforcement des mesures de protection des données personnelles d’une part, et les lobbyistes cherchant à diminuer ce niveau de protection d’autre part. La Commission européenne espère une adoption du règlement d’ici la fin de l’année, pour une entrée en vigueur deux ans après sa promulgation.

Fabrice Mattatia, expert en confiance numérique

agrandir la photo

Polytechnicien, ingénieur Télécom ParisTech et docteur en droit, Fabrice Mattatia a été en 2009-2010 conseiller de la secrétaire d’Etat à l’Economie numérique. Il est expert en confiance numérique (identité numérique, données personnelles, droit du numérique) et vient de publier chez Eyrolles Traitement des données personnelles : le guide juridique.

envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
L’open source modernise en profondeur le SI de l'Etat
Menacées par les géants du web, les banques doivent s’engager pleinement dans le digital
France Connect, un accès universel aux administrations en ligne
Transformation digitale : le lièvre et la tortue
Vite, un Grenelle du numérique
Guerre contre les cyber-escrocs qui envahissent la publicité en ligne
Plongée au coeur d’une cyberattaque
Ebola et les réseaux sociaux
Cas GoPro : ignorer les rumeurs est une erreur majeure
Une bonne gestion de la dématérialisation, un levier essentiel pour l’entreprise
Ces ruptures qui vont transformer nos vies
Affaire « Vie de Merde » : un concept non protégé par le droit d’auteur, mais...
Pourquoi vos outils collaboratifs ne génèrent aucun gain de productivité
Quand les entreprises font marche arrière sur le modèle offshore
Classement des extensions septembre 2014 : le .COM plus rapide que l'ensemble des NewgTLDs
Maîtrisez votre nom de domaine et comprenez la magie de Time To Live
L'incidence des groupes ouverts ou fermés sur la dynamique collaborative
Pourquoi Google, Apple, Amazon ou Facebook ne deviendront probablement jamais des banques
Innovation : Pourquoi Apple ne fait plus la course en tête ?
Comment s’écarter de la DSI sans pour autant l’exclure ?