Google et Facebook dans la ligne de mire de la Commission européenne sur la protection des données personnelles

Mercredi, la Commission Européenne a annoncé une réforme globale des règles en matière de protection des données à caractère personnel.

En effet, Viviane Reding, vice-présidente de la Commission chargée de la Justice, a présenté les points clés de deux propositions législatives : un règlement définissant un cadre général européen pour la protection des données et une directive relative au traitement des données liées à la prévention et la détection des infractions pénales.Ces textes ont vocation à modifier la directive 95/46/CE du 24 octobre 1995 transposée en droit français par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel.

Les principales évolutions envisagées par le règlement vont dans le sens d’une plus grande protection du citoyen et d’une plus grande responsabilité pesant sur les entreprises procédant au traitement des données personnelles. La disposition qui est au cœur du nouveau dispositif européen, est l’exigence de l’obtention par les entreprises, du consentement exprès de la personne concernée pour pouvoir exploiter ses données.

Il convient de noter que cette mesure va à rebours de la jurisprudence européenne et française qui considère que « l’opération de collecte de données personnelles (sans consentement de la personne concernée) est possible si elle est nécessaire à la réalisation de l’intérêt légitime poursuivit par le responsable du traitement » (CJUE, 24 Novembre 2011).

Le règlement prévoit également de faciliter l’accès des personnes à leurs propres données.

De manière générale, la Commission Européenne réaffirme par ce projet que la protection des données personnelles est un droit réel, reconnu par le Traité de Lisbonne et la Charte des droits fondamentaux qui n’a pas vocation à être assoupli mais bien au contraire consolidé.

A ce titre, la concurrence au sein du secteur des télécoms va se trouver renforcée du fait de l’intégration dans le système législatif européen du droit à la portabilité des données personnelles.

Par ailleurs la Commission Européenne envoie un signe très fort aux Géants du net tels Google ou Facebook pour que les dispositions en matière de traitement des données personnelles soient conformes aux Traités.

De même, les entreprises devront notifier, dans les meilleurs délais, à l’autorité de contrôle nationale toute violation grave dans le traitement de données à caractère personnel.  Il convient de souligner que cette mesure vise à abroger l’actuelle procédure qui consiste, pour les responsables de traitements de données, à notifier a priori à l’autorité de contrôle (en France, la CNIL) le contenu de leurs activités. Concernant le coût des formalités administratives, cette mesure permettra une économie d’un montant de 130 millions d’euros par an.

En cas de non-respect des dispositions légales, la Commission Européenne a prévu des sanctions exemplaires pour le responsable du traitement qui peut être condamné à une amende pouvant atteindre 1 million d’euros ou 2% de son chiffre d’affaire annuel global.

Enfin, la Commission Européenne envisage de légiférer en matière de reconnaissance d’un « droit à l’oubli numérique ». Le gouvernement français a toujours soutenu ce projet, notamment à travers les travaux des Ministres BESSON et KOSCIUSKO-MORIZET.

Ainsi, du fait que toute personne propriétaire de données personnelles va pouvoir s’opposer en amont  à l’utilisation de celles-ci par un prestataire, il va être intéressant d’analyser l’articulation du droit à l’oubli numérique précité avec la loi du 29 juillet 1881 relative notamment à l’injure et à la diffamation.

Plus particulièrement, lorsqu’un propos à caractère diffamatoire sera prescrit par trois mois et qu’il visera des données personnelles, et qu’aucune action judicaire ne pourra être envisagée sur ce fondement, il sera intéressant de savoir si une action judicaire fondée sur la défense du droit à l’oubli numérique pourra être envisagée.

En tous les cas, cette nouvelle disposition fera très certainement  l’objet de développement de la doctrine et nourrira les futurs contentieux. Enfin, si ces textes sont promulgués, les modèles économiques de la plupart des acteurs de l’Internet devront être adaptés.