La CNIL européenne déplore les lacunes de la réforme des données personnelles
Le contrôleur européen de la protection des données a listé les failles de la réforme de la directive européenne sur la protection des données personnelles poussée par la Commission européenne. Il s'en prend en particulier à la faiblesse "inacceptable" de la révision en matière pénale.
Au vu des changements annoncés, dont certaines dispositions ont entraîné les réserves de la CNIL et du parlement français, il était attendu que contrôleur européen de la protection des données (CEPD), en charge de la protection des données personnelles, prenne position sur le projet de révision porté par la Commission européenne.
Consciente que la précédente directive européenne 95/46/CE sur la protection des données personnelles n'est plus guère adaptée au nouveau cadre numérique qui s'est ouvert avec l'explosion d'Internet, la Commission européenne a planché sur une réforme du texte afin de mieux prendre en compte les évolutions numériques de ces deux dernières décennies.
De manière générale, Peter Hustinx a salué le travail accompli et s'est réjoui du renforcement du droit à la protection des données en Europe. "Le CEPD accueille favorablement le règlement comme un instrument directement applicable dans les États membres, car il mettra fin à de nombreuses complexités et incohérences découlant de la mise en œuvre dans le droit national".
"Les règles renforceront les droits des individus et responsabiliseront davantage les responsables de traitement quant à la manière de traiter les données personnelles. En outre, le rôle et les pouvoirs des autorités nationales de contrôle (séparément et conjointement) se verront réellement renforcés". Mais le contrôleur européen a aussi émis plusieurs réserves (.pdf) et fait part de quelques préoccupations.
Le CEPD pointe quatre grands risques :
les possibilités de restreindre les principes et droits de base ;
les dérogations possibles dans le cadre du transfert de données vers des pays tiers ;
les pouvoirs excessifs accordés à la Commission dans le mécanisme destiné à garantir la cohérence au niveau des différentes autorités de contrôle ;
les exceptions nouvelles au principe de limitation de la finalité.
Pour Peter Hustinx, "plusieurs aspects de la proposition ne répondent pas à l'exigence d'un niveau uniforme et élevé de protection des données". Ainsi juge-t-il que "les règles proposées pour la protection des données en matière pénale sont d'une faiblesse inacceptable. Dans de nombreux cas, il n'y a aucune justification quant à l'écart par rapport aux règles prévues dans la proposition de règlement".
"En matière pénale, certaines règles spécifiques sont nécessaires, mais ne doivent en aucun cas abaisser le niveau général de protection des données". Il cite :
le manque de sécurité juridique quant à l'utilisation ultérieure de données à caractère personnel par les autorités policières et judiciaires ;
l'absence d'une obligation générale pour les autorités policières et judiciaires de démontrer la conformité avec les exigences de protection des données ;
les conditions insuffisantes encadrant les transferts vers des pays tiers ;
les pouvoirs indûment limités des autorités de contrôle.
Il reste désormais à savoir si ces remarques seront prises en compte par la Commission et le Parlement et permettront d'amender la réforme européenne et en chasser les lacunes.