C. VEILLER À L'EFFECTIVITÉ DE LA PROTECTION DES DONNÉES PERSONNELLES MISE EN PLACE
1. S'assurer que les autorités de contrôle disposeront des pouvoirs nécessaires à leurs missions
Sur proposition de notre collègue M. Jean-Paul Amoudry, votre commission a souligné le caractère trop restrictif des pouvoirs d'investigation des autorités de contrôle dans le dispositif proposé par la Commission européenne.
En effet, l'article 53, 2 e alinéa, b) du texte ne permet à ces dernières d'avoir accès aux locaux ou aux fichiers des responsables de traitement que « s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire au présent règlement », ce qui leur imposera de recueillir en amont suffisamment d'informations concordantes pour soupçonner une pratique illégale.
Or, dans le même temps, en supprimant la plupart des formalités préalables de déclaration pour la création d'un fichier, la proposition de règlement supprime la principale source d'information des autorités de contrôle sur la mise en oeuvre du traitement.
Le risque est grand, alors que les autorités de contrôle ne pourront plus obtenir d'informations qu'en procédant à des enquêtes, qu'elles ne puissent ouvrir ces enquêtes, faute de disposer préalablement d'informations suffisantes pour fonder le « motif raisonnable » leur permettant de supposer qu'une activité contraire à la protection des données s'exerce au sein de l'entreprise.
2. Compléter le régime de protection des données personnelles
La proposition de règlement comporte un certain nombre d'avancées. Toutefois, certaines doivent être améliorées pour assurer une protection effective des données personnelles.
Ainsi, en dépit de sa consécration par le texte, mais faute d'obligations spécifiques pesant sur les moteurs de recherche, le droit à l'oubli se trouve largement privé de toute effectivité : si l'intéressé se voit reconnaître la possibilité d'obtenir la rectification d'un contenu qui lui est préjudiciable, il n'a pas de moyen de contraindre les moteurs de recherche qui ont référencé l'ensemble des sites internet ayant reproduit ses données personnelles à supprimer cette indexation.
Votre commission juge pour cette raison opportun de prévoir une procédure de déréférencement, à la demande de l'intéressé, ou, de manière automatique, passé un certain délai.
De la même manière, il serait nécessaire de réfléchir à une solution équilibrée pour autoriser, sur demande de l'intéressé, l'effacement des données publiées par un tiers qui lui portent préjudice, dans le respect de la liberté d'expression.
Reprenant une proposition formulée par nos collègues M. Yves Détraigne et Mme Anne-Marie Escoffier dans leur rapport d'information précité sur « la vie privée à l'heure des mémoires numériques », votre commission propose que l'adresse IP ( Internet Protocol ) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier l'individu concerné.
Il conviendrait en outre que les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données soient mieux encadrées. En effet, en l'état, le point h de l'article 44 de la proposition de règlement exonère de toute obligation les responsables de traitement procédant à des transferts « ni fréquents ni massifs », sans que ces conditions soient précisément et strictement définies, ce qui pourrait autoriser certains abus.
La désignation obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés - seuil qui correspond à celui des grandes entreprises en droit européen 32 ( * ) - est un progrès, car un tel référent favorise la diffusion, au sein de l'entreprise de bonnes pratiques. Il semble toutefois à votre commission, comme l'ont recommandé au cours de leur audition les représentants de l'association française des correspondants à la protection des données à caractère personnel, qu'une telle obligation de désignation pourrait utilement être étendue, même pour des effectifs inférieurs à ce dernier seuil, aux entreprises dont la principale activité est celle du traitement de données personnelles.
*
* *
Au bénéfice de l'ensemble de ces observations, votre commission a adopté la proposition de résolution dont le texte suit.
* 32 En effet, la recommandation 2003/361/CE de la Commission, du 6 mai 2003, concernant la définition des micro, petites et moyennes entreprises, dispose qu'à moins de 10 salariés, il s'agit d'une micro-entreprise, à moins de 50, une petite entreprise, à moins de 250, une moyenne entreprise.