En introduction à la conférence LEXPOSIA, Eric Caprioli a rappelé que la proposition de règlement européen sur la Protection des données à caractère personnel du 25 janvier 2012 risque d’être retouchée en 2013. Toutefois, les principes de base de la directive de 1995 resteront globalement identiques, même s’il y a des nouveautés comme le Privacy By Design ou encore la création de la fonction de Délégué à la Protection des Données qui va pouvoir enfin remplacer le barbarisme de CIL (correspondant Informatique et Liberté). Avant de céder la parole à François Coupez, avocat au Cabinet Caprioli & Associés, il a précisé que cette directive s’imposera à tous les Etats sans transposition.

François Coupez a présenté pour sa part les principaux enjeux juridiques de la proposition de règlement européen sur la protection des données à caractère personnel. Cette proposition est fondamentale car elle va pouvoir unifier les transpositions au niveau de tous les pays de l’Europe. Elle va aussi remédier au sentiment persistant dans la population que la confidentialité des données à caractères personnelles n’est pas respectée au sein de l’Europe.

En préambule, il a fait un rapide rappel historique sur l’évolution de la législation en ce domaine. La loi informatique et Liberté du 6 janvier 1978 a été fondatrice de ce projet de réglementation. En fait initialement cette Loi était très tournée vers l’Etat. En 1995, on s’est aperçu que l’entreprise peut aussi amener ce type de risque. Donc la directive de 1995 a tenté d’y remédier. Puis des directives spécifiques sont apparues en particulier celles de 2002. La proposition de règlement est donc une nouvelle étape qui devrait lutter contre la « Balkanisation » des règles.

Ce règlement va pouvoir être appliqué tel quel sans avoir besoin de transposition. Il aura un pouvoir d’application plus fort que les Lois nationales. Ce projet fait actuellement 131 pages et contient 91 articles soit 3 fois plus que précédemment et prend en compte les implications financières. Il prévoit aussi un timing. Le problème est de savoir quand il sera adopté. Il devrait l’être en 2013 et au plus tard en 2015 avec une application. Par contre, il est sujet à de très nombreuses critiques. Par contre, en France, Fleur Pellerin dans sa dernière intervention sur le sujet n’a pas mentionné ce texte alors qu’elle fait travailler ses équipes sur un projet similaire… Donc si un nouveau texte français est adopté il pourrait rester lettre morte…

En outre, ce projet prévoit la notion d’établissement principale et de guichet unique c’est à dire le fait que lorsque l’on agit dans plusieurs il n’y aura qu’une seule entité. Ainsi du fait des différences de fiscalité, on risque d’avoir l’Irlande et le Luxembourg qui vont devoir gérer un très grands nombre de traitement à gérer. Ainsi, si on conserve la loi dans l’état, il faudra réa-louer les budgets de fonctionnement des différents Etats membres. Il a rappelé que ces règles vont aussi s’appliquer à toutes les entreprises étrangères à l’Europe qui travaillent sur le sol européen.

Cette nouvelle réglementation va entraîner un durcissement des obligations pour le traitement des opérations. Il va aussi falloir pour les entreprises prouver et donner tous les éléments de preuves. Ainsi, elle devrait conforter les fonctions de CIL.

L’avenir des autorités de contrôle tel que la CNIL va sans doute aller vers la cohérence des contrôles pour les remonté au niveau européen. En revanche, les sanctions pour les entreprises seront alourdies en pouvant aller jusqu’à 2% du CA mondial annuel. La Commission Européenne va ainsi être incontournable. Elle va devenir le centre névralgique de la protection des données. Elle va pouvoir contrôler toutes les autorités nationales et bénéficier d’un bras armé. Sur les 91 articles 46 disposition prévoit des actes déléguées et d’exécution : ajout de précision dans la réglementation sur des détails techniques, condition de garanties parmi lesquels des ajouts à al règlementation), formulaires d’exécution. Ainsi, la CNIL va voir son pouvoir se réduire à des rôles d’exécution.

"L’Accountability" est un nouvel apport qui met la conformité au cœur des organisations, La traçabilité va être au centre de ce dispositif. Ainsi, les organisations qui ne le feront pas seront réputées non conforme et donc soumises à sanction. La conservation des traces sera sanctionnée jusqu’à 1 millions d’euros à 2% du CA annuel. L’ensemble des services des entreprises devront être en relation avec la CNIL

Dans ce projet de règlement, le Privacy by Design concerne le respect de la vie privée dès la conception des outils. C’est la Commission Européenne qui décidera des actes d’exécution et délégués. Pour ces derniers chaque Etat devra s’assurer de la conformité. Par exemple pour les navigateurs, on devra intégrer le « Do not track ». Le sous-traitant aura une responsabilité en ce domaine. Ceci vise en particulier le Cloud Computing. Les sous-traitants sont donc « invités » à être plus transparent en particulier dans le domaine de la localisation des données. Le droit à l’oubli est aussi intégré dans ce projet avec la notion de consentement.

En conclusion, pour François Coupez ce projet repositionne la Loi dans son siècle.