La France a toujours entendu jouer un rôle de moteur dans les négociations en cours sur la rénovation de la directive 95/46 relative à la protection des données, compte tenu des très forts enjeux en termes de libertés des personnes et de compétitivité des entreprises qui sous-tendent la proposition de règlement du 25 janvier 2012. Le gouvernement a en effet conscience de l'importance de ce sujet et des grandes attentes de la société sur ces questions. La France se montre donc active et vigilante dans les négociations en cours, son intention étant de parvenir à l'adoption d'un texte de qualité. Elle défend l'idée d'un règlement qui serait très protecteur pour les personnes concernées tout en préservant la compétitivité des entreprises. S'agissant de la question cruciale, et actuellement débattue au Conseil, du « guichet unique » et des autorités de contrôle compétentes pour superviser les traitements de données mis en oeuvre dans plusieurs Etats-membres, la France s'est toujours opposée au principe d'une compétence exclusive de l'autorité de contrôle du pays de l'établissement principal de l'entreprise, dénommée « guichet unique ». La proposition de la commission aboutit à ce que, lorsqu'un traitement de données concerne plusieurs pays, l'entreprise ne doit s'adresser qu'à une seule autorité de contrôle, celle du pays où elle possède son établissement principal, qu'on appelle le « guichet unique ». Cette règle de simplification des démarches administratives a des conséquences très importantes. En effet, dans ce projet, le « guichet unique » est la seule autorité nationale compétente pour adopter toutes les décisions relatives à un traitement transnational, éventuellement après un avis simple du Comité européen de la protection des données (CEPD), comité qui réunit toutes les autorités de contrôle nationales des Etats Membres de l'Union. La détermination de l'autorité de contrôle compétente pour un traitement transnational recouvre des enjeux importants compte tenu de ses implications en termes de protection des droits des personnes d'une part, et de compétitivité des entreprises d'autre part. Or la France a déjà averti ses partenaires des dangers que comporte la proposition de la Commission, qui consiste à donner une compétence exclusive pour superviser un traitement de données transnational à une seule autorité de contrôle, laquelle n'est pas nécessairement située dans l'Etat de résidence des personnes concernées par le traitement. Ce dispositif complique à l'évidence l'exercice des garanties offertes pour la protection des personnes tout en créant des incitations pour les entreprises à s'établir dans un pays où l'autorité de contrôle dispose de faibles moyens financiers et humains pour mener à bien ses missions. Dans ce contexte, la France a présenté, lors des débats du groupe d'experts du Conseil sur la proposition de règlement, un mécanisme alternatif plus protecteur des droits des personnes, et tout aussi respectueux de l'objectif d'allègement des charges administratives pour les entreprises. L'objectif du Gouvernement est de conserver le principe d'un « guichet unique », qui est un élément important de simplification de la vie des entreprises, tout en s'assurant qu'il n'entraîne pas une baisse du niveau de protection des données personnelles. Pour renforcer la protection des citoyens et prévenir tout risque potentiel de « forum shopping », le Gouvernement a ainsi élaboré un mécanisme de codécision qui permettra d'associer à l'examen des décisions à prendre l'ensemble des autorités de contrôle nationales concernées par un traitement transnational. Les critères de compétence des autorités nationales de contrôle seront, d'une part, le lieu d'implantation de l'entreprise, et, d'autre part, ce qui est très important et novateur, le lieu de résidence des personnes concernées. Autrement dit, pour toute personne résidant en France, la CNIL, même si elle n'est pas autorité chef de file et même si elle ne fait donc pas office de « guichet unique », sera nécessairement associée à la prise de décision sur le traitement de données en cause. Il est proposé que toutes les décisions soient prises à la majorité qualifiée des deux tiers des autorités concernées, dans des délais contraints afin de ne pas ralentir la procédure. La décision, une fois prise, sera notifiée à l'entreprise responsable du traitement par l'autorité de contrôle désignée comme guichet unique. Cette procédure de codécision concernera toutes les décisions portant sur un traitement de données transnational, ce qui recouvre, pour l'essentiel, les autorisations préalables de traitement à haut risque, ainsi que les procédures de sanction en cas de non-respect des règles en matière de protection des données personnelles. Les entreprises n'auront donc qu'un seul interlocuteur - le « guichet unique » - sans que cette simplification entraîne un quelconque affaiblissement du niveau de protection accordé aux personnes, dès lors que le « guichet unique » ne prendra jamais seul les décisions et devra toujours agir de concert avec les autres autorités nationales compétentes. Le dispositif de la codécision s'appliquera également aux réclamations déposées par les particuliers auprès de l'autorité du pays où elles résident. Grâce à ce mécanisme, les autorités de contrôle nationales seront, là aussi, très étroitement associées à l'examen de la plainte et prendront part à la décision en résultant. Une telle proposition, fondée sur cette procédure innovante de la codécision, aura pour effet de renforcer le réseau européen des autorités de contrôle nationales dans un contexte où les traitements de données transnationaux se multiplient et suscitent parfois les inquiétudes des citoyens européens. Elle constitue une alternative équilibrée au système actuel, en permettant de mieux protéger les droits des personnes résidant sur le territoire de l'Union européenne sans créer de nouvelle entrave à l'activité des entreprises. La France continue de défendre cette proposition à Bruxelles.