Pour répondre à cette question, il convient de revenir sur les objectifs de la réforme du cadre européen de protection des données personnelles. A l’origine de cette protection, se trouve la directive 95/46/CE du 24 octobre 1995. Le renforcement du cadre de protection  et son adaptation à la nouvelle économie conçue autour de l’exploitation de toujours plus de données notamment personnelles devait résulter d’un texte unique réalisant l’harmonisation. C’est la raison pour laquelle l’instrument du règlement a été choisi. Les lois nationales de transposition de la directive précitée devaient être supplantées par un texte unique applicable directement sur le territoire de l’Union européen. Pourtant, on peut constater que les lois nationales ne sont pas totalement écartées. Certaines dispositions de la proposition de règlement publiée par le 11 juin dernier par le Conseil de l’Union européenne permettent à la loi nationale de moduler le cadre de protection. Cette souplesse laissée aux États membres a sans doute permis le compromis mais il ne faudrait pas qu’elle conduise à priver de sa substance l’objectif d’harmonisation affiché.

L’exemple du DPO

Par exemple, le caractère obligatoire du délégué à la protection des données personnelles devrait, selon le Conseil de l’Union européenne, relever de la loi nationale. Rappelons que le Parlement européen s’est prononcé, en mars 2014, pour le caractère obligatoire du délégué à la protection des données personnelles dès lors que plus 5 000 personnes sont concernées par le traitement mis en œuvre sur une période de douze mois consécutifs.

Le Groupe de l’article 29 s’est également prononcé en la matière. Le 17 juin dernier, il a adressé une lettre à Vĕra Jourová (commissaire européenne), Ilze JUHANSONE (représentante permanente de la Lettonie, pays actuellement à la présidence du Conseil de l’Union européenne) et Jan ALBRECHT (député européen, Vice-président de la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen). Selon le G29, le délégué à la protection des données est la pierre angulaire de la notion d’accountability portée par le texte européen et un outil  participant de la compétitivité des entreprises. A ce titre, les représentants des autorités de contrôles européens considèrent que l’abandon du caractère obligatoire du DPO à la loi nationale conduirait à des disparités de nature à fragiliser l’utilité de cet acteur de la protection des données personnelles des individus.

Quelle recommandation du G29 : Fixer des critères objectifs (type de données, volume de données, volume de personnes concernées, nature de l’activité etc.) de désignation obligatoire du DPO. Cette position appuie celle retenue par le Parlement européen.

Pour mémoire, le Correspondant à la protection des données personnelles issu de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée et de son décret d’application n’est pas obligatoire. Si le texte en reste là à l’issue des débats du trilogue, il appartiendra au législateur français de maintenir la loi en l’état ou de la modifier.

Modulation des droits des personnes

Autre exemple, les droits des personnes et les obligations à la charge des responsables de traitements et des sous-traitants portés par le règlement pourront être limités par les lois nationales des États membres pour des raisons liées notamment à la sécurité nationale, à la défense nationale ou encore à la sauvegarde « d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important (…) ». Le Conseil de l’Union européenne a ajouté des limitations à celles retenues par le Parlement européen (sécurité publique, aspects fiscaux, prévention et détection d’infractions pénales, etc.).