b

Des limites liées à l’évolution de l’environnement numérique et aux divergences d’application dans les États membres

< Rapport d'information >

La directive 95/46 avait été élaborée dans le contexte des débuts d’internet, et n’avait donc pas pris en compte les évolutions technologiques majeures intervenues du fait de son développement. La directive de 2002 sur la vie privée et les communications électroniques (15) a eu pour objectif de combler certaines lacunes du cadre juridique mais la massification du partage, de la collecte et du traitement des données personnelles, ainsi que la facilité d’usage et le confort d’utilisation des nouveaux services offerts par internet ont fait apparaître de nouveaux enjeux de protection des droits fondamentaux.

Ainsi, M. Edouard Geffray, secrétaire général de la CNIL, a estimé lors de son audition par la mission d’information, que la directive 95/46, tout en reposant sur des principes solides et pertinents (légitimité du traitement, finalités, proportionnalité, droits des personnes), ne correspondait plus, sur plusieurs points, à l’évolution du monde numérique :

– son champ d’application territorial , fondé sur le lieu d’implantation du responsable de traitement, et non sur le lieu de résidence des personnes concernées par les traitements, limite sa portée en termes de protection, dans un environnement fortement dématérialisé et très internationalisé, alors même que des pays non européens se sont dotés d’instruments juridiques puissants ;

– son champ d’application personnel se limite aux responsables de traitement, c’est-à-dire aux donneurs d’ordre, sans prendre en compte les sous-traitants, alors que le recours à la sous-traitance est très fréquent dans le domaine du traitement des données personnelles car ce sont souvent ces acteurs qui maîtrisent les technologies, ainsi que les accès et les usages des réseaux ;

– le régime de contrôle actuel, qui s’est construit historiquement sur « le diptyque formalités préalables/contrôle a posteriori » ne correspond plus à l’évolution des techniques et des usages, le régime de déclaration ayant perdu sa pertinence ; les autorités de contrôle doivent désormais accompagner la mise en conformité des entités concernées afin qu’elles assurent une protection optimale des données personnelles à chaque instant

En outre, la directive, qui laisse de vastes marges d’interprétation aux États membres, a donné lieu à des transpositions nationales diverses. Ainsi que le relève le considérant (9) du règlement du 27 avril 2016, « la directive 95/46/CE n’a pas permis d’éviter une fragmentation de la mise en _œ uvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel _[...] peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œ uvre et l’application de la directive 95/46/CE. »

< Rapport d'information >