«Une approche globale de la protection des données à caractère personnel dans l'union européenne» Contribution du Groupe Carrefour - Janvier 2011

Transcription

1 «Une approche globale de la protection des données à caractère personnel dans l'union européenne» Contribution du Groupe Carrefour - Janvier 2011 Numéro au registre des représentants d intérêts : Le Groupe Carrefour, premier distributeur européen, second au niveau mondial, compte près de 3 milliards de passages en caisse par an dans l ensemble de ses magasins. Près de 25 millions de nos clients sont porteurs de cartes fidélité Carrefour en Europe, qu ils utilisent dans les magasins implantés dans 10 pays européens. La protection des données personnelles à notre échelle est essentielle afin de préserver et augmenter la confiance de nos consommateurs dans nos magasins et nos services. Impactés à travers l utilisation des cartes de paiements, des cartes de fidélités, des actions marketing, nous préparons aussi l avenir en réfléchissant à la protection des données de nos clients dans le cadre de services utilisant de nouvelles technologies. La législation européenne actuelle nous permet de suivre un cadre légal clair. La révision lancée par la Commission européenne nous semble opportune, dans le souci d adapter le cadre légal aux nouveautés technologiques. Dans cette optique, nous contribuerons à la consultation afin de souligner ce qui semble essentiel à mettre en place et d indiquer les difficultés que peut rencontrer notre secteur dans le cadre d une nouvelle réglementation. I Renforcer la clarté des définitions La communication de la Commission européenne mentionne le fait que certaines définitions doivent être adaptées ou bien tout simplement trouvées. Dans la pratique quotidienne, nous constatons que certaines notions existantes dans la règlementation de 1995 méritent d être revues et précisées. Ci-dessous nos commentaires relatifs à ces points. Pertinence de définitions claires Lorsque qu un cadre règlementaire est clair et précis, et ce d autant plus au niveau européen, il a plus de chance d être transposé et appliqué de manière cohérente et efficace par les opérateurs. Les difficultés liées aux interprétations divergentes entre les pays nous poseront de plus en plus de problèmes dans le cadre d une application harmonisée et d un régime commun entre les différentes entités de notre Groupe. Pour ce faire, la Commission européenne aura tout intérêt à développer des définitions claires et précises dans le futur projet de règlement en vue d une meilleure harmonisation au niveau national et une application cohérente par les opérateurs. Responsabilité CD / Affaires publiques européennes Janvier

2 Il apparaît nécessaire à toutes les parties prenantes de clarifier le terme anglais «accountability». En effet, le concept revêt de nombreuses acceptions et obligations à travers le monde, mais également au sein de l Union européenne : les acteurs de la protection des données, professionnels et institutionnels, gagneraient à ce qu une définition de leurs responsabilités, des obligations y attenantes et des sanctions en cas de violations soient établies dans un cadre juridique clair et harmonisé au niveau communautaire. Lorsqu une notion est clarifiée, elle admet également une certaine flexibilité dans la mise en pratique. Pour ce faire, nous encourageons la Commission à développer un cadre général et des principes directeurs clairs et univoques, afin que les opérateurs puissent adapter ces derniers aux spécificités de leurs activités et services. Ainsi, le modus operandi de la mise en place interne des règles de contrôle du respect de leurs responsabilités serait laissé aux choix des opérateurs, ce qui permettrait une meilleure application in fine des règles générales. Violation des règles et conséquences L éventuelle extension de l obligation de notification des violations de données à caractère personnel devrait s accompagner de garanties pour les entreprises qui y seront soumises. La Commission devrait proposer une définition de la «violation» de données à caractère personnel, en plus de préciser les destinataires de ce type de notifications, leurs obligations (notamment en termes de confidentialité et de pouvoirs) et les critères auxquels serait subordonnée l'application de cette obligation. Carrefour suggère dans cette optique que les notifications soient limitées aux violations susceptibles d entraîner des conséquences graves pour la sécurité ou le respect de la vie privée des personnes. L appréciation serait laissée au responsable de traitement qui pourra s appuyer sur les conseils de son correspondant à la protection des données. Données à caractère sensible La Commission, dans sa communication publiée en novembre 2010, fait référence à des données à caractère sensible. Il nous apparaît que cette notion, porteuse de conséquences importantes pour les opérateurs, devra faire l objet d un débat approfondi afin d aboutir à une définition qui prennent bien en compte toutes les complexités et la diversité de cette question. En effet, de nombreuses questions sont à soulever et des réponses pragmatiques devront être trouvées : le caractère halal d un aliment est-il en lui-même une donnée à caractère sensible? Quid de la géo-localisation : est-ce une donnée à caractère intrinsèquement sensible? De nombreux autres exemples de question pourraient être soumis à questionnement. De ce fait, Carrefour préconise d organiser des consultations auprès des secteurs impliqués afin de faire l inventaire des points obscurs. Par ailleurs, nous pensons qu une solution pragmatique sera la plus adaptée pour développer un cadre simple. Ainsi, une analyse sur la finalité et non sur la nature serait bienvenue (le caractère volontaire de la CD / Affaires publiques européennes Janvier

3 communication, faite par la personne concernée des données à caractère sensible, devrait également être pris en compte). Consentement Les règles en matière de consentement devraient être également clarifiées en vue d être praticables par tous et pour tous les moyens de communication. Pour ce faire, nous incitons la Commission à élaborer un cadre réglementaire précis, particulièrement au regard de l ensemble des formalités requises pour son recueil. L opt-out devrait être conservé tel qu il existe aujourd hui. La Commission pourrait éventuellement encourager les entreprises à élaborer des «chartes d utilisation» volontaires des données personnelles, en fonction des secteurs, qui soient plus informatisées et complètes que ce qui existe actuellement. Ces chartes pourraient être établies en collaboration avec les autorités nationales de protection des données et soumises à leur approbation. Une solution fondée sur la finalité et non sur la nature nous semble à ce stade être un axe raisonnable de réflexion. II Règles relatives au rôle du correspondant La nomination d un correspondant à la protection des données ne devrait être que facultative, mais fortement encouragée par des contreparties accordées aux entreprises en désignant un. Par exemple, les entités qui désignent un correspondant à la protection des données ne devraient pas avoir à effectuer de demande d autorisation pour les flux transfrontaliers, ou bien la Commission devrait réfléchir à mettre en place des mesures incitatives telles que la diminution des amendes. Le Statut du correspondant à la protection des données devrait être précisé. La Commission devrait ainsi inciter les entreprises à lui allouer des moyens nécessaires à l exercice de ses fonctions et préciser via des exemples le cadre de son action tels que des audits, la participation aux comités d entreprise, la prescription de mesures permettant de respecter le principe d Accountability. Le correspondant à la protection des données pourrait ainsi être celui qui participe au respect du principe d Accountability (obligation pour le responsable de traitement de rendre des comptes et de montrer des signes tangibles des actions qui ont été menées pour assurer la conformité de son entité) en établissant le compte rendu annuel des mesures prises. Le rôle du correspondant, dans l hypothèse des failles de sécurité, doit être précisé. Son rôle doit être celui de conseil auprès du responsable de traitement, afin de recommander à ce dernier les mesures à prendre pour pallier la faille de sécurité et dans le fait de devoir dénoncer cette faille ou non. Reste en suspens la question de la sous-traitance de cette activité, qui semble être une option que la Commission accepte afin de décharger les entreprises. Cette délégation devra être à son tour encadrée afin de clairement établir les responsabilités de chacun des acteurs. CD / Affaires publiques européennes Janvier

4 III La notification : une obligation à préciser L éventuelle extension de l obligation de notification des violations de données à caractère personnel devrait s accompagner de garanties pour les entreprises qui y seront soumises. Comme précisé plus haut, la Commission devrait proposer une définition de la «violation» de données à caractère personnel. La condition sine qua non de cette généralisation devrait être l adoption d un principe d absence de sanction en cas de notification de la violation. Sinon, la mise en œuvre d une telle obligation s apparenterait à un mécanisme d auto-dénonciation passible de sanctions que notre système juridique ne saurait accepter. Si elle devait être généralisée, les entreprises proposent que cette notification soit effectuée par le responsable de traitement sur les conseils du correspondant à la protection des données : - soit auprès d une autorité nationale de protection des données ; - soit directement auprès du groupe «Article 29» qui serait institutionnalisé. IV Règlement des litiges Concernant le renforcement des sanctions, notamment par l augmentation des possibilités de recours judicaires, Carrefour souhaite faire trois remarques. Tout d abord, le régime de sanctions applicables doit être le même dans tous les pays de l Union européenne. Une sanction, si elle est civile dans un Etat, ne devrait pas être pénale dans un autre. Cela crée des distorsions pour les opérateurs qui ne sont pas admissibles. Par ailleurs, il semble ici peu judicieux de la part de la Commission de ne pas favoriser des mécanismes non-judiciaires de résolution des conflits, en incitant les entreprises à développer leurs règles internes en cas de conflit avec une personne qui s estimerait lésée. Il apparaît en effet que ces mécanismes sont plus efficaces car les affaires traitées rapidement, gratuitement ou de manière peu coûteuse pour la personne concernée. Cela permet à la fois d aboutir à un accord, et de prolonger des relations de confiance ou de les restaurer entre les parties si la situation le permet. D autant plus qu en ce qui concerne notamment les grandes entreprises, celles-ci ont l habitude de gérer la relation avec leurs clients, y compris les réclamations, et ont à cœur de préserver cette relation. Le correspondant à la protection des données pourrait jouer un rôle majeur dans ce processus. Enfin, nous soulignons ici que la Commission européenne réfléchit depuis de nombreuses années à instaurer des mécanismes de recours collectifs ou assimilés. A ce jour, aucune proposition n a pu être développée du fait notamment de complexité et lourdeurs CD / Affaires publiques européennes Janvier

5 techniques non résolues et en partie liées à la répartition des compétences entre l UE et les Etats membres et entre les pouvoirs au niveau national. Pour ce faire, nous demandons à la Commission d avancer avec prudence sur ce thème et, par ailleurs, de mettre en place une collaboration et une coordination étroite de ses services sur toutes les initiatives relatives à ce sujet. Cela serait bénéfique à l avancée du débat. V Nouvelles technologies : questions en suspens La Commission européenne a lancé cette révision en vue d actualiser la législation de 1995 et d inclure les nouvelles technologies dans un nouveau cadre règlementaire. Nous sommes surpris que peu de nouvelles technologies soient prises en compte dans le document de la Commission. Pourtant, certaines d entre elles soulèvent des questions qui sont en suspens depuis plusieurs années. Nous pensons donc qu il est important que la Commission donne quelques indications sur ces technologies, afin que les opérateurs puissent agir dans le cadre d une sécurité juridique raisonnable, dans une limite de temps qui permettent aux opérateurs d adapter les règles au déploiement des innovations technologiques dans un cadre déjà reconnu. La Commission pourrait s appuyer sur l expertise de l Article 29 WP et sur la consultation des parties prenantes. Avant tout, nous appelons la Commission à adopter et appliquer le principe de neutralité technologique, permettant à toute innovation d avoir l opportunité de se développer, quelle qu en soit la nature, et ce, dès lors que la finalité n enfreigne pas les règles de protection des données. Il est évident qu une innovation technologique ne pourra grandir que si elle obtient la confiance du consommateur ou du client. Il est nécessaire pour cela que les opérateurs puissent avoir une marge de manœuvre suffisante afin de la mettre en place. Par ailleurs, il est peu souhaitable que la Commission ou les autorités nationales de protection des données stigmatisent une technologie sous couvert d un principe de précaution trop strict. Nous appelons en ce sens l application d un principe de prévention, plus adapté au bon développement économique et compétitif de l Europe. Concernant les types de technologie, le travail effectué par la Commission européenne ces dernières années relatif aux puces RFID devrait servir de fondement aux futures méthodes de travail en concertation avec les parties prenantes. Le Groupe Carrefour participe activement aux discussions autour de ce texte et de sa mise en œuvre et appelle la Commission à se servir de cette base et de tenir compte des erreurs commises par le passé. D autres technologies, du type NFC pour les paiements mobiles, l utilisation des empreintes digitales, l utilisation du GPS, sont concernées par la protection des données. Carrefour, loin de vouloir faire une liste exhaustive et rapidement obsolète des technologiques nouvelles, recommande à la Commission européenne d adopter une démarche holistique et souple permettant un développement raisonné mais effectif des innovations. VI Autres questions soulevées par la Communication de la Commission CD / Affaires publiques européennes Janvier

6 D autres points de la Communication de la Commission européenne méritent d être relevés et commentés. En espérant que le débat continue dans les prochains mois et que la Commission européenne persiste dans sa volonté de consultation des parties prenantes, quelque soit la forme de ces consultations, nous ne ferons ici que mentionner rapidement les idées et remarques de Carrefour sur ces points. Le marché intérieur est un élément central pour une entreprise comme la notre. Nous sommes donc bien entendu en faveur de toute initiative de la Commission tendant à développer une meilleure harmonisation et une interprétation similaire de son texte au sein des Etats membres. La Commission européenne pourrait aussi profiter de cette occasion pour faire le benchmark des initiatives nationales afin de favoriser celles qui représentent le moins de charges administratives pour les entreprises. La Commission insiste sur les possibilités d autoréglementation et d initiatives privées en vue d améliorer le traitement des données personnelles. Carrefour est tout à fait en faveur de cette idée. Cependant, nous souhaitons souligner à la Commission que plus un cadre légal est lourd, complexe et restrictif, moins les initiatives privées pourront voir le jour. Et ce, notamment du fait des charges lourdes en termes de ressources que demande un tel cadre légal. Le droit à l oubli est également cité comme point d action potentielle de la commission dans sa future proposition. Nous souhaitons souligner ici que ce droit est absolument nécessaire et nous paraît aller grandement dans le sens de la protection des données personnelles. Néanmoins les règles de mise en œuvre de ce droit sont à penser de façon pragmatique, afin que son application soit plus efficace. La Commission attire également l attention sur l idée de développer des modèles européens standardisés. Ce point nous semble à priori très positif car il permettrait une meilleure sécurité juridique des opérateurs au sein de l UE. Cependant, nous soulignons ici qu à notre sens, c est surtout la promotion des règles qui permet de garantir la prise en compte du respect de la vie privée dès la conception, via des informations diffusées régulièrement. Nous appliquons cela au quotidien. La Commission devra donc penser à une méthode de diffusion, et d aide à l application adaptée et efficace, pour jouir d un succès dans cette démarche. Enfin, et cela constituera notre dernière remarque, nous notons que les pouvoirs et initiatives des autorités nationales s étendent de plus en plus, au-delà parfois des attributions prévues par la loi. Pour les opérateurs, cela crée une incertitude juridique non favorable à la bonne application des règles. Une clarification des pouvoirs et de leur encadrement dans un texte clair serait bienvenue. Par ailleurs, une meilleure coordination entre les autorités nationales via un réseau efficace, tel que pourrait l être article 29 WP, serait également bénéfique. CD / Affaires publiques européennes Janvier