3

Une inversion de la logique de contrôle et de responsabilité

< Rapport d'information de la commission des affaires européennes >

Cet ensemble de principes est mis en œuvre par les responsables de traitement eux-mêmes, en premier lieu, selon une logique de confiance et de responsabilisation des acteurs privés par les autorités publiques. Les responsables de traitement doivent se conformer à une série de mesures de précaution, via la nomination de « délégués à la protection des données (23) », l’adoption de codes de conduite, le respect des mécanismes de certification et surtout la notification des failles de sécurité à l’autorité de contrôle ainsi qu’aux personnes concernées. Les régimes d’autorisation et les prohibitions absolues tombent donc pour la plupart d’entre elles, et le texte invite l’ensemble des acteurs à réfléchir selon une logique d’évaluation des risques et de responsabilité plutôt que d’autorisation et de surveillance.

Les autorités de contrôle, à l’instar de la CNIL (Commission Nationale de l’Informatique et des Libertés), doivent désormais accompagner les acteurs vers le traitement le plus respectueux possible des données personnelles, par la diffusion de référentiels de bonnes pratiques et de conseils.

En échange de cette libération du régime d’autorisation préalable, les autorités nationales de régulation disposent de pouvoirs d’investigation et de sanctions renforcées. En fonction de la violation constatée, l’amende administrative peut s’élever jusqu’à vingt millions d’euros, ou de 2 % à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Cette inversion de paradigme s’appuie sur une logique fondée désormais sur la gestion du risque.

< Rapport d'information de la commission des affaires européennes >