La protection des données à l’ère du numérique
Il devenait urgent de réviser la dernière directive 95/46/CE sur la protection des données personnelles. Celle-ci fêtera bientôt ses 20 ans et ne peut donc anticiper l’ampleur d’internet et des nouvelles technologies. Alors qu’en 1993, moins d’1% des informations transitaient par internet, le taux atteint 97% en 2007.
Jamais, avant internet, nous n’avons eu accès à autant d’informations et de connaissances à l’échelle mondiale. Mais derrière l’apparente gratuité des logiciels, moteurs de recherche et applications qui optimisent nos vies, nous payons le prix de notre personne. Comme le soulignait Viviane Reding, Vice-présidente de la Commission européenne en charge de la Justice, « les données personnelles sont devenues la monnaie des marchés numériques ». Une valeur que certains estiment à 315 Milliards d’euros en Europe [2] alors qu’un récent sondage Eurobametre fait état que 64% des Européens sont préoccupés par la protection des données personnelles .
L’objectif de la Commission avec cette réforme ? Adopter un cadre harmonisé pour les 27 qui renforce le marché unique tout en garantissant le droit à l’oubli numérique pour les citoyens européens. D’autant que le Traité de Lisbonne offre une nouvelle base juridique en faisant de la protection des données personnelles un objectif politique de l’Union en son article 16 TFUE et rend effectif la Charte des droits fondamentaux [3].
L’adoption d’un règlement permettra de clarifier et d’harmoniser les droits des européens quelque soit l’état membre, et à l’avenir, la Commission ne pourra plus se défausser en renvoyant la balle aux états. Ce qu’elle a fait pas plus tard qu’en mars dernier sur l’IP tracking, une pratique consistant à augmenter les prix des billets de voyage en identifiant les demandes successives provenant d’une même adresse IP. Viviane Reding, saisie par l’eurodéputée Françoise Castex, a déresponsabilisé l’Union alors même que la protection des données personnelles a ici des implications directes sur la libre concurrence. Des problèmes de ce type continueront de se poser avec le développement d’internet. Rappelons que six « CNIL » européennes viennent d’engager, début avril, une action devant la Cour de justice à l’encontre de Google. En cause, la réforme des clauses de confidentialité et le croisement des données entre plusieurs services, types Google +, Gmail, Google Maps et Youtube. Enfin, la pratique croissante du cloud computing, c’est à dire l’hébergement privé en réseau de biens numériques, est soumise à de forts enjeux contradictoires entre économie d’échelle, création d’emploi et sécurisation des données.
Les grandes avancées du rapport Albrecht
Une première innovation, hormis le fait d’adopter un règlement et non une simple directive, tient au champ d’application de celui-ci. En effet, ce règlement s’appliquera à toutes personnes, autorités publiques et entreprises traitant des données personnelles des citoyens européens. Aussi, les grands groupes type Facebook et Google bien qu’américains, sont directement concernés.
Notons que le rapport Albrecht qui amende le projet de la Commission renforce cette dimension en deux points. D’une part, concernant le respect de certaines règles, le rapporteur préconise de faire référence non plus aux « entreprises de plus de 250 employés » mais aux « entreprises qui traitent des données d’au moins 500 citoyens européens ». D’autre part, l’amendement 73 rappelle que le règlement ne devrait pas faire de différences entres autorités publiques et acteurs privés. Il devrait en conséquence s’appliquer aussi bien aux institutions, organes et agences de l’Union. Une dimension que soulignait également Sophia In’t Veld (ADLE, NL) en Commission Libe [4] en mars dernier, et qui paraît essentielle compte tenu du traitement des données effectuées par des agences telles Europol, Eurojust, Frontex ou encore via le système d’information Schengen.
Deuxième innovation, ce règlement rend enfin effectives les sanctions en cas de violations de ses dispositions. Une dimension qui manquait cruellement dans la directive de 1995, et qui a provoqué la rage des lobbys du numérique . En effet, les sanctions pourront aller jusqu’à 1 million d’euros pour les autorités publiques et 2% du chiffre d’affaire annuel d’une entreprise. Le principe de proportionnalité est cependant affirmé et le rapport Albrecht énumère une liste de critères permettant de graduer la sanction et laissant la possibilité d’un premier avertissement si la violation n’est pas intentionnelle. Ces montants sont justifiés dans la mesure où la commercialisation et l’utilisation des données personnelles représentent une manne financière telle que bien souvent, les grands groupes préfèrent payer une amende plutôt que de se plier à la législation.
Le nouveau règlement prévoit également l’obligation, pour les entreprises et autorités dont l’activité principale découle de l’utilisation des données personnelles, de nommer un correspondant informatique et libertés. Il permet aussi de renforcer le rôle du comité européen de protection des données et celui des autorités nationales de contrôle (type CNIL en France). Via celles-ci, le principe du guichet unique permettra de faciliter les recours des citoyens et de transmettre plus rapidement leurs plaintes.
Le rapport Albrecht restreint les pouvoirs très importants que s’était octroyée la Commission dans la version initiale du règlement, et apporte plus de transparence en associant systématiquement le Parlement et le Comité européen dans les activités de contrôle.
Le droit d’opposition et le droit à la portabilité des données, c’est à dire le droit d’obtenir une copie des données nous concernant et si il y a lieu de demander leur rectification ou leur effacement, sont réaffirmés. Notons que la rapporteure pour l’avis de la Commission JURI sur le règlement, la députée française Marielle Gallo (PPE), fervente pro-ACTA, voulait supprimer le droit à la portabilité mais a dû se raviser. Enfin, le règlement encadre le transfert des données vers les pays tiers, les activités de profilage et rend obligatoire la notification des failles de sécurité et du transfert de données aux autorités européennes et aux personnes concernées.
Autant d’innovations qui vont dans le sens d’une garantie effective et moderne des droits des citoyens européens. Pourtant, ce projet en dérange plus d’un. Si certains aspects peuvent être encore clarifiés, il faut rester vigilent fasse au torpillage du texte qui a eu lieu dans certaines commissions parlementaires sous la pression des lobbys du numérique.
Suivre les commentaires : |