Artemi Rallo, ancien directeur de l’AEPD, et Isabelle Falque Pierrotin, Présidente de la CNIL

Le projet de Règlement européen relatif à la protection des données à caractère personnel prône une approche de centralisation, visant à simplifier les démarches administratives des entreprises, mais qui risque d’éloigner les citoyens de leurs autorités compétentes.

Le Règlement européen va profondément modifier notre métier, souligne Isabelle Falque-Pierrotin, Présidente de la CNIL. Même si son ampleur reste encore à mesurer, l’orientation générale va changer la manière dont nous travaillons. Le principe du guichet unique évoqué dans le projet de Règlement a suscité beaucoup de débats et la CNIL a d’ailleurs été l’une des premières à réagir. En soi, la CNIL est pour la notion de guichet unique. Par contre, nous estimons que cette notion a été jouée de la mauvaise manière, puisque le projet de Règlement en fait un critère de compétence, alors que c’est le critère de coopération administrative qui devrait prévaloir. Nous pensons que cela va conduire à une concentration de la régulation entre un nombre assez limité d’acteurs. Cette approche risque de nous éloigner des citoyens et de notre mission première de respect des droits fondamentaux. Dans le schéma actuel du Règlement, le citoyen qui souhaite contester ou porter plainte contre une entreprise dont le traitement des données est établi à l’étranger devra se pourvoir auprès de l’autorité du pays en question. De plus, il risque d’entraîner certaines contestations entre les autorités elles-mêmes. Ceci n’est pas imaginable, car cela engendrerait la déconstruction du réseau que nous avons construit entre nous. C’est pourquoi la CNIL a émis une contre-proposition, basée sur un système qui suscite une coopération entre autorités et des codécisions. La question de la gouvernance s’avère fondamentale, et cette gouvernance ne doit pas être centralisée, pour s’adapter au mieux au numérique.

« Notre force est d’être et d’agir ensemble »

Pour Artemi Rallo Lombarte, ancien Directeur de l’AEPD espagnole, ce projet de Règlement représente une véritable nécessité pour l’Europe, car la protection des données à caractère personnel n’est pas encore assez satisfaisante aujourd’hui. Il est nécessaire d’avoir un Règlement qui harmonise la protection des données à caractère personnel en Europe. Toutefois, se pose effectivement le problème du guichet unique tel qu’il est prévu actuellement, car si l’approche théorique est impeccable, dans la pratique cela représenterait un certain danger. En effet, le guichet unique offrira sans doute un chemin clair d’impunité pour les entreprises qui travaillent dans le domaine de l’Internet et qui sont établies hors de l’Europe, explique-t-il. Le guichet unique tel qu’il est aujourd’hui pensé laisserait les citoyens désarmés sans avoir les instruments pour réagir contre les violations des droits fondamentaux. Un citoyen, habitant par exemple la campagne espagnole, ne va pas porter plainte auprès d’une autorité étrangère, alors qu’il ne parle pas la langue, ne comprend pas la procédure… Il sera découragé bien avant… Le fait que l’autorité référente soit à l’étranger devrait réduire massivement la saisine et le dépôt de plainte.

Les différents gouvernements belges sont tous contre ce projet de Règlement, observe Stefan Verschuere, Vice-président de la CPVP belge. Les belges y sont massivement opposés, car la proposition ne répond pas aux problèmes de protection des données à caractère personnel. En effet, avec le guichet unique, on essaie de transformer un protecteur des droits en régulateur économique. Le guichet unique va poser problème pour les citoyens et les entreprises, sans compter que la matérialisation du guichet unique va amener une baisse du pouvoir des autorités. C’est impossible de confronter la protection des données à caractère personnel des citoyens à des régulations qui ne sont pas en adéquation. Le guichet unique va isoler les autorités nationales les unes par rapport aux autres, alors que notre force est d’être et d’agir ensemble. Il faut toutefois trouver un système qui permette aux opérateurs… de ne pas dépendre de l’ensemble des autorités nationales, qui ont des régulations très disparates.

L’objectif de l’accountability est d’éviter l’infraction et donc la sanction

Le concept d’accountability va-t-il permettre de retrouver le point d’équilibre entre protection des données et régulation économique ? Pour Isabelle Falque-Pierrotin, le principe d’accountability s’avère fondamental. L’accountability correspond aux différentes mesures mises en œuvre pour se conformer aux exigences issues de la réglementation Informatique et libertés. Ce concept, qui concerne tous les responsables de traitement, doit être intégré dans nos textes, mais pas forcément à n’importe quel prix, estime Isabelle Falque-Pierrotin. En effet, le niveau d’exigence de l’accountability doit être obligatoire et fixé par les autorités de régulation dans les principes généraux, mais pas dans le détail. Il faut, de plus, que cette mise en conformité soit dynamique.

L’objectif de l’accountability est, avant tout, d’éviter l’infraction, et donc la sanction, en assurant le respect des droits fondamentaux, complète Artemi Rallo Lombarte. C’est un facteur essentiel, toutefois une harmonisation des exigences et des sanctions sera indispensable au niveau européen.

« L’Autorité nationale belge n’a pas de pouvoir de sanction et n’en veut pas d’ailleurs, car nous craignons la confusion des rôles », explique Stefan Verschuere. Tout le système de protection des données à caractère personnel repose sur la prévention, et non sur la répression. Les règles d’accountability, permettant de s’assurer de la conformité des démarches, s’avèrent en ce sens fondamentales.

Quoi qu’il en soit, pour que le Règlement européen soit opérationnel, il va falloir s’assurer au préalable des modalités de coopération des autorités entre elles (démarches, langues…). Toutefois, faudra-t-il encore que ce Règlement soit adopté et ratifié, conclut Christiane Féral-Schuhl.