Intervention de Isabelle Falque-Pierrotin

Le principe de la directive, c'est de substituer à des formalités lourdes de contrôle a priori une politique de sanctions fondée sur la responsabilisation des contrôleurs de traitement, l'accountability. Cela passe par la constitution d'une documentation, d'études d'impact ou par la désignation de correspondants Informatique et libertés. Le règlement constitue par conséquent un changement de paradigme radical en termes de régulation.

Sont substituées aux formalités déclaratives de nouvelles modalités. Aujourd'hui, nous délivrons un récépissé dans un délai de quatre jours et cela n'est pas un gros mot de dire que le contrôle que nous exerçons est faible. Au reste, la délivrance du récépissé ne garantit pas la conformité à la loi Informatique et libertés. L'abandon des obligations de déclaration n'a donc rien de dramatique, d'autant que celles-ci sont remplacées par des obligations de documentation, que certains des acteurs concernés trouvent déjà trop lourdes, demandant à ce qu'elles soient modulées en fonction du type d'entreprise ou de la nature des données traitées.

La consultation et le recueil de l'avis des autorités demeurent, mais dans un très faible nombre de cas, qui concernent notamment les transferts internationaux. Il nous semblerait plus pertinent de pouvoir redemander du contrôle en amont pour ce qui concerne les données sensibles, mais ce serait aller à rebours de la directive. La liste des données sensibles y est fixée de manière tout à fait limitative : à titre d'exemples, les données génétiques et la biométrie n'y figurent plus. C'est un point sur lequel nos propositions n'ont pas été entendues et nous le regrettons vivement. Réintégrer les données génétiques et la biométrie dans la liste nous paraîtrait d'autant plus essentiel que leur exploitation va se développer énormément et que les risques afférents ne sont pas totalement maîtrisés. Désormais, lorsqu'on couplera de la vidéoprotection avec de la reconnaissance faciale, ce ne sera plus considéré comme l'exploitation de données sensibles et les autorités de contrôle ne seront pas consultées a priori. Sans doute disposera-t-on d'autres moyens pour récupérer des connaissances sur ces traitements, mais il nous incombera d'aller chercher une information qui nous est aujourd'hui fournie.

Nous séparons-nous des conclusions du contrôleur européen des données personnelles (European Data Protection Supervisor - EDPS) ? Non, mais il s'agit d'une vérité textuelle plutôt qu'opérationnelle. L'objectif de Mme Reding tel que l'exprime le texte, c'est que toutes les autorités soient dotées des mêmes pouvoirs et, autant que faire se peut, des mêmes ressources. Le texte fixe des orientations et des obligations de moyens, mais qu'en sera-t-il dans la réalité ? Les Vingt-Sept ont-ils tous le même appétit en matière de protection des libertés et l'adoption du règlement se traduira-t-elle par leur « mise à l'équerre » sur ces questions dès 2015 ? Je n'en suis pas persuadée.