En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Les nouveaux pouvoirs des Cnil : moins de formalités et plus de sanctions

Le futur règlement européen introduit entre autres trois modifications majeures au fonctionnement des différentes Cnil : la documentation des traitements, le guichet unique et les amendes en cas de non-respect de la loi.

laisser un avis
Le Parlement européen abordera dans les prochaines semaines l’examen d’un projet de règlement sur les données personnelles. Ce texte, proposé en 2012 par la Commission européenne, a vocation à remplacer notre actuelle loi informatique et libertés (qui date de 1978), et qui a été profondément remaniée en 2004. Le projet de règlement confirme les missions traditionnelles de la Cnil (Commission nationale informatique et libertés) et de ses homologues européennes. Il introduit trois modifications majeures à leur fonctionnement. La première porte sur l’allègement des formalités à mener par les entreprises. Celles-ci n’auront plus à déclarer tous leurs traitements, mais devront les documenter fortement en vue de contrôles sur place par la Commission, qui seront plus fréquents. 

Un guichet unique controversé

Le projet prévoit ensuite un guichet unique : pour un traitement de données personnelles d’une entreprise multinationale, seule sera compétente au niveau européen la Cnil du pays où est installé ce traitement. L’entreprise n’aura ainsi plus qu’un seul interlocuteur pour ce traitement, et non 27. Ce volet, en revanche, a plus de mal à passer…
En effet, La Cnil française a fortement critiqué ce guichet unique, aux motifs qu’il réduit en pratique les possibilités de recours du citoyen. Supposons que vous vouliez déposer une réclamation contre un réseau social américain qui aurait installé ses serveurs à Tallinn. Serait-ce vraiment un progrès que de devoir vous adresser à la Commission estonienne ? Par ailleurs, cette compétence unique risque d’inciter les entreprises qui veulent manipuler tranquillement des données personnelles à domicilier leurs traitements dans les pays où la Cnil serait plus laxiste que ses consœurs, ou dotée de moins de moyens d’action. Il y aurait alors un risque de dumping sur la protection des données personnelles.

Des sanctions véritablement dissuasives

Dernier volet : les amendes en cas de non-respect de la loi. Elles s’échelonneront de 250 000 euros (ou 0,5 % du chiffre d’affaires mondial de l’entreprise) pour les infractions les moins graves, à 1 million d’euros (ou 2 % du chiffre d’affaires mondial, pour les infractions les plus graves). Des sanctions réellement dissuasives… Aujourd’hui, l’amende record de la Cnil française a été prononcée contre Google, pour un montant de 100 000 euros. Mais un tel montant est-il vraiment de nature à faire peur aux multinationales, alors qu’il est probablement moins élevé que leurs seuls frais d’avocats ? En revanche, sur des sujets touchant au droit de la concurrence, on a vu récemment la Commission européenne prononcer des sanctions de plusieurs centaines de millions d’euros : là se trouve sans doute la voie à suivre pour susciter une vraie peur du gendarme qui est, comme chacun le sait, le commencement de la sagesse.

L’indispensable autorégulation

Toutefois, Internet et les services numériques étant mondiaux par nature, un règlement européen ne permettra pas de régler tous les problèmes d’un coup de baguette magique. Certes, une législation européenne est indispensable pour affirmer les grands principes que nous, Européens, entendons défendre (consentement de la personne concernée à la collecte de ses données, obligation de sécuriser les données, droit d’opposition…). De même, les Cnil sont irremplaçables pour faire appliquer ces principes dans toutes les situations que l’évolution technologique engendre chaque jour. Pour autant, il reste à faire prendre conscience aux acteurs du numérique de l’intérêt qu’ils ont à s’autoréguler.
En effet, le public est désormais conscient des enjeux de la protection de ses données personnelles, et attend des services qu’il utilise un minimum de respect de ses données et de sa vie privée. Un prestataire prédateur ou désinvolte en paiera le prix sous forme de mauvaise réputation et de perte de clientèle ; au contraire un acteur vertueux et qui le fait savoir verra grossir sa clientèle.
Les débats au Parlement européen promettent d’être vifs, entre les partisans d’un renforcement des mesures de protection des données personnelles d’une part, et les lobbyistes cherchant à diminuer ce niveau de protection d’autre part. La Commission européenne espère une adoption du règlement d’ici la fin de l’année, pour une entrée en vigueur deux ans après sa promulgation.

Fabrice Mattatia, expert en confiance numérique

agrandir la photo

Polytechnicien, ingénieur Télécom ParisTech et docteur en droit, Fabrice Mattatia a été en 2009-2010 conseiller de la secrétaire d’Etat à l’Economie numérique. Il est expert en confiance numérique (identité numérique, données personnelles, droit du numérique) et vient de publier chez Eyrolles Traitement des données personnelles : le guide juridique.

envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Les drones, le nouveau cauchemar des départements informatiques ?
Sécurité : Les faux titres sont d’excellents pièges pour attirer les accros à l’actualité
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Les opérateurs français sont-ils prêts à accueillir Netflix ?
Attaques DNS : Connaître son ennemi
Cloud hybride, gare à la récupération !
Pourquoi les constructeurs s'intéressent aux données des voitures connectées ?
Les banques doivent dépasser la seule présence institutionnelle sur les réseaux sociaux
Quelles techniques pour choisir de nouveaux mots de passe ?
Le Responsive Design est mauvais pour le SEO
Big Data, radioscopie d’un nouveau gisement d’opportunités pour la grande distribution
Mobilité : comment exploiter les files d’attente pour chercher un emploi
Le DAF numérique : 4 leviers clés pour passer du mythe à la réalité !
Les 3 choses à savoir sur la géolocalisation « in store »
Pas d’omnicanal, sans une digitalisation des points de vente
Le G20 des Entrepreneurs de Sydney comme si vous y étiez (4/4)
Quand le big data s’invite pendant vos vacances
Le G20 des Entrepreneurs de Sydney comme si vous y étiez (3/4)
Le G20 des Entrepreneurs de Sydney comme si vous y étiez (2/4)
Transformation digitale : Du verre à moitié vide au verre à moitié plein