Projet de modification de la Directive sur la protection des données personnelles : la France s'élève contre le principe du «guichet unique»

Le projet de règlement « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données » qui vise à modifier la pièce maîtresse de la législation européenne en matière de données à caractère personnel, à savoir la directive 95/46/CE, a été dans l'ensemble favorablement accueilli par les autorités françaises, en ce compris par la Commission nationale de l'informatique et des libertés (CNIL).

Néanmoins, une disposition du projet cristallise toutes les oppositions des autorités françaises. Après la CNIL et l'Assemblée nationale, le Sénat a, à son tour, exprimé des réserves au sujet du principe du « guichet unique » (résolution européenne n° 110 adoptée le 6 mars 2012).

La proposition controversée, l'article 51-2 du projet, prévoit que « lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs Etats membres, l'autorité de contrôle de l'Etat membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les Etats membres... ». En d'autres termes, lorsqu'un responsable de traitement est établi dans plusieurs Etats membres, seule l'autorité de protection des données localisée dans l'Etat du principal établissement de ce responsable serait compétente pour connaître de l'ensemble des atteintes à la protection des données personnelles, qui seraient commises par ce responsable.

Le Sénat, dans la résolution susvisée, « s'oppose » au dispositif décrit ci-dessus en ce qu'il attribue compétence pour instruire les éventuelles requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable a son principal établissement.

La CNIL illustre l'hypothèse visée en prenant l'exemple d'un réseau social. En cas d'atteinte aux droits d'un internaute français par un réseau social dont le principal établissement serait en Irlande, l'internaute français ne pourrait saisir la CNIL mais devrait déposer sa plainte devant l'autorité de contrôle irlandaise. Cette obligation, comme le souligne la CNIL, éloigne indubitablement le citoyen de l'autorité de protection vers laquelle il pourrait se tourner en cas d'atteinte à ses données personnelles. Le Sénat souligne à cet égard que, comme en matière de droit de la consommation, il convient en matière de données personnelles d'assurer la meilleure protection possible du citoyen et de garantir son droit à un recours effectifen lui permet tant de s'adresser à l'autorité la plus proche de lui, auprès de laquelle il a l'habitude d'accomplir ses démarches.

Comme la CNIL et l'Assemblée nationale, le Sénat demande en conséquence au gouvernement de veiller à ce que le principe du guichet unique soit abandonné au profit du maintien de la compétence de l'autorité de contrôle du pays de résidence de l'individu.

Par Anne-Laure Villedieu, avocat associé,

Analyse juridique parue dans la revue Option Finance le 26 mars 2012