Modification de la Directive 95/46/CE sur la protection des données personnelles : point d’étape

Le processus de révision de la Directive 95/46/CE sur la protection des données personnelles suit son cours. A la suite de la publication du projet de règlement visant à modifier ce texte et relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la Commission Libertés civiles, justice et affaires intérieures du Parlement européen a publié, le 8 janvier 2013, un « Projet de rapport sur la proposition de règlement du Parlement Européen et du Conseil ». Par l’intermédiaire de son rapporteur, Jan Philipp Albrecht, la Commission a proposé pas moins de 350 amendements au projet de règlement.

Le rapporteur propose en particulier d’aménager les dispositions du projet de Règlement prévoyant lorsque le traitement de données intervient dans le cadre des activités d’un responsable de traitement ou d’un sous-traitant établi dans plusieurs Etats membres ou lorsque des données personnelles concernant des résidents de plusieurs Etats membres sont traitées, « qu’une seule autorité de contrôle soit compétente pour surveiller les activités du responsable de traitement ou du sous-traitant dans toute l’Union » (Considérant 97 et article 51 § 2).

Selon la Commission, l’autorité compétente devrait être l’autorité de contrôle de l’Etat membre dans lequel le responsable de traitement ou le sous-traitant a son principal établissement.

Cette disposition a fait couler beaucoup d’encre en France, la CNIL comme le Sénat craignant que la protection des données s’éloigne des citoyens et que les responsables de traitement installent leur établissement principal dans un Etat dont l’autorité de contrôle serait plus permissive que dans d’autres.

Le projet de rapport invite dès lors à substituer à la disposition ci-dessus le principe selon lequel « il conviendrait qu’une seule autorité de contrôle agisse comme guichet unique pour le responsable de traitement ou le sous-traitant dans toute l’Union… ».

L’amendement 277 du projet de rapport précise à cet égard que l’autorité de contrôle de l’Etat membre où se situe l’établissement principal du responsable du traitement ou du sous-traitant sert de point de contact unique pour le responsable ou le sous-traitant.

Cette autorité n’aurait donc pas compétence exclusive pour traiter des plaintes introduites par les citoyens. Ceux-ci pourront continuer à saisir l’autorité de leur résidence habituelle, le rôle de l’autorité chef de file se bornant à assurer la coordination avec les autorités associées à un stade quelconque des procédures de contrôle.

La CNIL a d’ores et déjà pris acte avec satisfaction de ces propositions d’amendement.