Protection des données personnelles sur les médias sociaux: comment l'union européenne peut-elle réguler les pratiques ?

3. "Renforcer le cadre institutionnel"

La Commission souhaite renforcer le rôle et les pouvoirs des autorités chargées de la protection des données : "le rôle des autorités chargées de la protection des données (DPA) est essentiel pour le contrôle de l'application des règles de protection des données. Ces autorités sont les gardiennes indépendantes des libertés et des droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel les concernant. C'est pourquoi la Commission estime que leur rôle devrait être renforcé"⁵⁰. Celles-ci devront pouvoir bénéficier d'un statut «d'indépendance complète», et il apparaît crucial qu'elles améliorent leur coopération et leur coordination.

Dans l'approche globale, la Commission insiste à nouveau sur l'importance d'une coopération entre Etats membres, ainsi qu'entre Etats membres et Etats tiers. Celle-ci serait

49 Directive 95/46/CE, Chapitre IV "transfert de données à caractère personnel vers des pays tiers", Article 25 "Principes", §1

50 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.19

21

particulièrement utile dans le cas précis-des réseaux sociaux : "Cela est tout particulièrement le cas lorsque des entreprises multinationales sont établies dans plusieurs États membres et exercent leurs activités dans chacun de ces États, ou lorsqu'un contrôle coordonné avec le contrôleur européen de la protection des données (CEPD) est requis"⁵¹. Cela est déjà le rôle du groupe de travail "article 29", organe consultatif européen indépendant sur la protection des données et de la vie privée dont l'organisation et les missions sont définies par les articles 29 et 30 de la directive 95/46/CE, dont il tire sa dénomination, ainsi que par l'article 14 de la directive 97/66/CE.

Mais avec la réforme souhaitée par la Commission, ce groupe devra contribuer également à l'amélioration de l'action des autorités nationales, en assurant une application plus cohérente des règles européennes en matière de protection des données. Une telle coopération est définie très clairement dans le projet de règlement du 25 janvier 2012, et fait l'objet d'un chapitre complet : "Chapitre VII, coopération et cohérence".

Ainsi, par ce renforcement du cadre institutionnel en matière de protection des données personnelles, l'Union européenne entend répondre aux attentes suscitées par les récentes évolutions technologiques : "le défi posé aux législateurs est celui de la mise en place d'un cadre législatif qui résistera à l'épreuve du temps. [...] Peu importe la complexité de la situation ou le caractère sophistiqué de la technologie, il est essentiel que les règles et les normes applicables, que les autorités nationales doivent faire appliquer et auxquelles les entreprises et les développeurs de technologies doivent se conformer, soient définies clairement"⁵².

Cependant, si ces avancées sont bienvenues, elles ne sont pas sans soulever certaines critiques. Cette proposition de réforme est par exemple remise en cause par la CNIL⁵³, l'Assemblée Nationale ⁵⁴et le Sénat Français⁵⁵. S'ils estiment nécessaire la révision du cadre juridique européen existant, concèdent que celle-ci renforce les droits des citoyens européens en la matière, et approuvent le renforcement des pouvoirs de sanction des autorités de protection nationales et l'obligation d'une coopération accrue au niveau européen, ils contestent toutefois l'optimalité de cette réforme. La CNIL s'inquiète en particulier du risque d'éloignement entre les citoyens

51 Ibidem, p.20

52 Ibidem

53 CNIL, "Projet de règlement européen : la défense de la vie privée s'éloigne du citoyen", janvier 2012

54 CNIL, "Projet de règlement européen : la CNIL salue l'engagement du Parlement français", février 2012

55 Sénat, "Proposition de résolution au nom de la commission des lois, en application de l'article 73 quinquies, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)"

22

européens et leurs autorités nationales, du fait que l'autorité désormais compétente soit celle où se situe l'établissement principal de l'entreprise, et "s'oppose donc fermement à un tel critère qui constituera une véritable régression vis-à-vis des droits des citoyens". De façon plus générale, l'autorité française déplore une réforme "anti-démocratique", qui ne ferait que donner aux autorités de protection des données personnelles la même image technocrate et distante qu'ont aux yeux des citoyens les institutions européennes. De la même manière, les parlementaires français ont exprimé leurs réserves sur la proposition de règlement de la Commission européenne. A l'initiative du député UMP et membre de la CNIL Philippe Gosselin, les membres de la commission des Affaires européennes de l'Assemblée Nationale ont adopté le 7 février 2012 une proposition de résolution européenne sur cette question. S'ils rappellent leur soutien aux objectifs généraux de cette réforme, les députés s'opposent avec force à certaines propositions de la Commission européenne, dont celle du critère de l'établissement principal, préjudiciable pour les droits des citoyens mais aussi pour l'économie française et européenne. Ils rejoignent également les inquiétudes exprimées par la CNIL sur le risque d'éloignement entre les citoyens et les autorités de protection nationales, et sur la concentration des pouvoirs par la Commission européenne, au détriment de ces autorités. Enfin, Le Sénat a adopté le 6 mars 2012 une proposition de résolution européenne relative à ce projet. Comme la CNIL et l'Assemblée Nationale l'ont exprimé, le Sénat reconnaît la nécessité d'une simplification et modernisation de la législation européenne, et ne nie pas les avancées introduites par le texte. Cependant, il a exprimé ses inquiétudes quant aux conséquences politiques, juridiques et économiques de cette réforme. En premier lieu, la Commission des Lois conteste le principe d'harmonisation complète au niveau européen, car il priverait les États membres de la possibilité d'adopter des dispositions nationales plus protectrices : "Rappelant que la Commission européenne défendait le principe d'une harmonisation complète, sans possibilité de dérogations plus favorables, [M. Simon Sutour, rapporteur], a souligné que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes. Elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices". Et en effet, cela serait contraire au principe de subsidiarité, selon lequel la norme nationale doit s'appliquer tant que la norme communautaire ne permet pas un niveau de protection plus efficace. Quant au critère de l'établissement principal, le Sénat a rejoint la CNIL et l'Assemblée Nationale : "Il a par ailleurs jugé nécessaire de s'opposer à tout dispositif qui, comme celui du « guichet unique », promu par la Commission européenne, aboutirait à moins bien traiter le

23

citoyen que l'entreprise responsable du traitement, en le privant de la possibilité de voir l'ensemble de ses plaintes instruites par son autorité de contrôle nationale".