Isabelle Falque-Pierrotin (CNIL) : « Données personnelles : gare aux risques d’une baisse de la protection en Europe »
La révision de la directive sur la protection des données personnelles est l’un des grands enjeux IT en Europe en 2012. La présidente de la CNIL tire la sonnette l’alarme sur des points jugés sensibles. Interview.
En marge de la conférence de presse sur l’usage des données personnelles sur les smartphones (13/12/11), Isabelle Falque-Pierrotin, Présidente de la CNIL, a accordé à ITespresso.fr une interview sur le processus en cours de révision de la directive des données personnelles au niveau européen (datant de 1995)*.
Un sujet majeur dont on entendra parler le long de l’année 2012. Il concerne les citoyens et les entreprises dans l’ère de la « société de l’information » promue par la Commission européenne.
Justement, les discussions multilatérales vont s’intensifier à partir des premières propositions de Bruxelles pour aboutir à un nouvel environnement pour protéger les données personnelles d’ici la fin de l’année prochaine.
Isabelle Falque-Pierrotin prend justement la balle au rebond.
L’autorité nationale de régulation des données personnelles considère que plusieurs volets inclus dans le projet actuel de la Commission européenne sont déséquilibrés voire contradictoires (risques de transfert de compétences, rôle « doctrinal » de la Commission européenne…).
Au point de nuire à l’éclosion d’un nouveau cadre global de protection plus efficace (interview enregistrée le 13/12/11).
*Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
ITespresso.fr: Concrètement, où en est le processus d’examen pour réviser la directive sur les données personnelles ?
Isabelle Falque-Pierrotin : Le processus est largement entamé puisque le texte a été préparé par la direction Justice de la Commission européenne. Il fait l’objet d’une consultation inter-services. Il sera finalisé comme projet de la Commission européenne d’ici mi-janvier 2012. A partir de là, le projet de la Commission sera transmis à partir de février pour discussion au Parlement européen et au Conseil européen.
Nous sommes vigilants car on a le sentiment que ce texte risque d’accentuer la concurrence intra-communautaire, et à, in fine, diminuer le niveau de protection en matière de données personnelles. De plus, il construit une gouvernance du G29, dans laquelle la Commission européenne retrouve énormément d’importance. Ce qui nous paraît pas un bon message par rapport au monde décentralisé du numérique. Il y a une sorte de recentralisation de la gouvernance du G29 [groupe européen des autorités de protection, ndlr] au niveau de la Commission. Cela ne nous paraît pas adapté à la régulation de ces univers numériques.
ITespresso.fr: Sur quels points précis la CNIL exprime des inquiétudes ?
Isabelle Falque-Pierrotin : La révision de la directive est un enjeu majeur. Mais on a le sentiment que pas assez de gens se mobilisent. Le projet de texte soumis à la consultation inter-services [au sein de la Commission européenne, ndlr] a « officiellement fuitée » il y a quelques jours. Il apparaît en première analyse que le texte renforce les droits (portabilité, droits à l’oubli…). Autant d’avancées extrêmement intéressantes. Mais, à d’autres égards, il nous inquiète car le texte fixe un nouveau critère pour la détermination de l’autorité compétente qui est celui du principal établissement.
C’est bien un règlement en cours d’élaboration (nous aurons tous la même loi européenne) mais « la CNIL compétente » sera l’autorité du principal établissement. Ce qui, pour les acteurs du numérique, conduit à transférer la charge de régulation sur l’Irlande, l’Angleterre, peut-être un peu le Luxembourg. Mais nous [la CNIL en France, ndlr], nous ne serons plus directement compétentes. Nous avons fait part de notre inquiétude car nous considérons que cela ne tient pas la route. La loi Informatique et Libertés et le règlement européen vont forcément interagir avec d’autres lois nationales (fiscales, ressources humaines….). On voit mal l’autorité irlandaise être consciente et devoir appliquer toutes ces lois nationales.
Secundo, si tout est transféré sur un nombre limité d’autorités, les entreprises vont se localiser dans un certain nombre de pays « plus compréhensives et plus flexibles » que nous. On risque d’avoir, par effet induit même si ce n’est pas affiché, une baisse de protection en Europe. Alors que l’on est dans une situation internationale de très forte concurrence sur les questions de données personnelles. Je suis persuadé que le haut niveau de protection en Europe constitue un avantage concurrentiel. Ce n’est justement pas le moment de baisser le niveau de protection. C’est un facteur d’attraction pour les entreprises. Elles vont bénéficier d’un niveau de protection juridique qu’elles ne rencontreront nulle part ailleurs dans le monde. Et pour les consommateurs, c’est un gage de confiance.
(Lire la fin de l’interview page 2)