Intervention de Marietta Karamanli

Je constate que, dans le règlement et la directive, les formalités préalables à la mise en oeuvre d'un traitement de données à caractère personnel à effectuer auprès de la CNIL constituent la partie immergée de l'iceberg. Le projet de règlement ne devrait-il pas réduire ces formalités déclaratives, dont un certain nombre d'avocats ou d'organismes remettent en cause l'efficacité ? Existe-t-il une étude ou une évaluation – qu'elle soit française ou européenne – de l'utilité de ces déclarations ? Comment revoir cette question pour mieux protéger le citoyen et le rapprocher de l'autorité de traitement ?

Au vu de ce règlement et des avis qui ont été donnés, dont celui de la CNIL, il apparaît que la consultation de l'autorité de contrôle, préalable à la mise en oeuvre d'un traitement de données à caractère personnel, n'est pas totalement supprimée. Dans ce cadre, certains traitements resteraient soumis à un contrôle préalable de la CNIL, dans trois cas importants : les transferts hors de l'Union européenne lorsque le responsable du traitement et le destinataire des données ne sont pas liés par des clauses contractuelles types conformes à celles adoptées par la Commission européenne ; les transferts de données hors de l'Union européenne, vers des pays n'offrant pas un niveau de protection adéquat ; et les traitements de données sensibles – analyse comportementale, profilage, scoring, données relatives à la vie sexuelle. Pensez-vous que la liste de ces traitements doive être allongée et, si oui, pour couvrir quels domaines ?

En mars 2012, le contrôleur européen indiquait que le rôle et les pouvoirs des autorités nationales de contrôle seraient renforcés. Cette assertion vous semble-t-elle exacte ?