Protection des données personnelles et obligations relatives à leur traitement : où en est la règlementation ?

Le 13 mai 2014, la Cour de Justice rendait un arrêt particulièrement médiatisé dans le domaine de la protection des données personnelles¹.
Le principal apport de l’arrêt est de reconnaître le rôle actif des moteurs de recherche dans le traitement des informations personnelles et donc l’obligation qui leur incombe de respecter le droit d’accès aux informations personnelles des particuliers.

Neuf mois plus tard, où en est la règlementation relative à la protection des données personnelles ?

Dans l’arrêt du 13 mai 2014, la Cour a fondé sa décision sur la Directive 95/46/CE² qui constitue le cadre législatif de l’Union Européenne.
Cette Directive donne trois prérogatives au particulier dont les données personnelles font l’objet d’un traitement automatisé :
– le droit d’obtenir des informations sur le responsable du traitement (identité du responsable, finalités du traitement, destinataires des données)
– le droit d’accès aux informations traitées, la confirmation que des données le concernant sont ou ne sont pas traitées et la communication des données faisant l’objet des traitements.
– le droit à la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la Directive, notamment en raison du caractère incomplet ou inexact des données, ainsi que la notification de ces modifications aux tiers auxquels les données ont été communiquées.³

La définition de donnée personnelle est très large, puisqu’elle englobe toutes les informations qui permettent l’identification d’un individu. De même, la Cour estime que le caractère incomplet ou inexact des données ne se limite pas aux données collectées sans le consentement du particulier, mais également des données anciennes qui ne seraient plus pertinentes.
La Cour a donc imposé aux responsables du traitement des informations personnelles, en premier lieu les moteurs de recherche, d’assumer la mission de contrôle des réclamations relatives au traitement des données personnelles, mais sans trancher la problématique de l’équilibre entre protection des données personnelles et de la vie privée d’une part, et protection de la liberté d’information et de la presse d’autre part.
La solution ne satisfait ni les responsables du traitement des informations personnelles à qui est confié un rôle de trancher des réclamations entrainant d’importants coûts pour une mission qui n’est pas celle de ces opérateurs, ni les particuliers qui n’ont pas de lisibilité sur l’étendue de leurs droits, ni les acteurs de la presse inquiets d’une potentielle limitation de leur liberté d’expression.

La Commission travaille sur une réforme du cadre de l’Union européenne de protection des données personnelles depuis plusieurs années. Un projet de règlement a été publié le 25 janvier 2012 et adopté en première lecture par le Parlement européen le 12 mars 2014.
Ce projet de règlement devrait être définitivement adopté courant de l’année 2015.⁴

Il prévoit notamment de consacrer un « droit à l’oubli numérique et à l’effacement des données personnelles » pour les particuliers dans trois cas :
– les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées,
– la personne concernée retire le consentement sur lequel est fondé le traitement ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre motif légal au traitement des données.
– la personne concernée s’oppose au traitement des données à caractère personnel

Le règlement imposerait non plus seulement de rendre inaccessible un lien, mais d’effacer les informations personnelles sur le site source, sur d’éventuels sites répliquant l’information et sur les moteurs de recherche.
Le responsable du traitement qui autorisé un tiers la publication de données personnelles serait réputé responsable de cette publication et donc de l’effacement des données personnelles par ce tiers.

Le projet de règlement prévoit plusieurs exceptions à cette obligation d’effacement :
– lorsque le maintien est nécessaire à l’exercice de liberté d’expression,
– pour des motifs d’intérêt général en matière de santé publique,
– à des fins de recherche historique, statistique et scientifique,
– en cas d’obligation légale de conservation des données personnelles;

Une procédure de retrait temporaire des informations personnelle est également prévues pour permettre au responsable du traitement des données d’étudier une réclamation d’un particulier sans voir sa responsabilité engagée durant le temps de l’examen de la demande.

Des sanctions sont prévues en cas de non respect des obligations d’effacement des données personnelles, à savoir une amende pouvant s’élever à 500 000 euros ou dans le cas d’une entreprise, à 1% du chiffre d’affaire mondial. Ces amendes seraient infligées par les autorités nationales de contrôle, telle la CNIL en France.

Le projet de règlement apporte des éclaircissements salutaires concernant les exigences relatives à la protection des données personnelles et notamment l’équilibre à trouver avec d’autres libertés économiques et individuelles, mais le projet ne résout pas le problème de la responsabilité de l’examen des demandes.
Est-il vraiment raisonnable pour le régulateur de se défausser de sa mission de trancher des litiges relatifs aux libertés les plus fondamentales, telles que le droit au respect de la vie privée, la liberté de la presse, la liberté d’expression ou encore la liberté d’entreprendre ?