LA FIN DES INTERMINABLES NÉGOCIATIONS EUROPÉENNES SUR LES DONNÉES PERSONNELLES : UN TEXTE DE COMPROMIS POUR LA CRÉATION D’UN STANDARD DE PROTECTION UNIQUE

Publié par le dans | Consulté 47 Fois

Les négociations portant sur le nouveau règlement régissant la protection des données personnelles ont finalement abouti, le 15 décembre dernier, après plus de trois ans d’attente. Le « trilogue », composé de représentants du Parlement, du Conseil et de la Commission, s’est mis d’accord sur le projet de réforme présenté en janvier 2012 mené par Viviane Reding, alors membre de la Commission Européenne. La commission des libertés civiles s’est prononcée en faveur, deux jours plus tard. Le 18 décembre 2015, le Comité des représentants permanents a approuvé le texte de compromis. Le texte doit maintenant être soumis aux institutions européennes pour approbation et publié au journal officiel début 2016. Il devrait enfin entrer en vigueur en 2018.

Les aspects fondamentaux d’un projet d’harmonisation des législations européennes :

Depuis la signature du Traité de Lisbonne en 2007, la protection des données à caractère personnel est un droit fondamental au regard de son article 16 qui dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ». De même, la Charte des droits fondamentaux a acquis une force juridique contraignante. Ainsi, il émane de ses articles 7 et 8 que le respect de la vie privée et la protection des données à caractère personnel sont des droits fondamentaux étroitement liés.

L’Union européenne dispose donc d’une base juridique spécifique lui permettant d’adopter des textes législatifs pour protéger ces droits fondamentaux, mis à mal par les évolutions technologiques et l’économie numérique. Il faut d’ailleurs souligner que, comme l’indique « l’Eurobaromètre sur la protection des données » publié en juin 2015, seulement 15 % des citoyens européens ont le sentiment de contrôler les informations qu’ils fournissent en ligne, et pas moins de 90 % d’entre eux pensent qu’il est important d’avoir les mêmes droits et une protection identique dans tous les pays de l’Union.

Toutefois, comme il est indiqué dans le futur règlement européen, le droit à la protection des données personnelles n’est pas un droit absolu et doit être mis en balance avec les intérêts de la société et les autres droits fondamentaux, conformément au principe de proportionnalité. Le but est de permettre aux citoyens européens d’exercer un meilleur contrôle sur la collecte de leurs données et leurs utilisations.

Pour ce faire, le projet de règlement modernise et adapte les principes de protection énoncés par la directive 95/46/CE de 1995, en renforçant les droits des personnes physiques et en précisant les obligations pesant sur les personnes qui effectuent un traitement de ces données ainsi que celles des responsables de traitement. Se faisant, il indique également la marche à suivre pour assurer le respect de ces dispositions et établit les sanctions imposées en cas de non respect, en donnant aux autorités nationales de protection des pouvoirs accrus. C’est l’autre aspect de ce règlement, qui est d’apporter de la clarté et plus de sécurité juridique aux entreprises pour laisser le jeu de la concurrence sur le marché du numérique se faire sans entraves et par là même stimuler l’innovation.

Les principales mesures contenues dans le texte de compromis :

Puisqu’une grande partie de l’économie du nouveau règlement est tournée vers le contrôle des citoyens sur leurs données privées, le consentement y joue un rôle central. En effet, celui-ci doit être explicite et positif. Il ne doit donc pas être ambigu, particulièrement en ce qui concerne les données dites « sensibles ». Cela se traduit par le fait que les citoyens décident, de façon active et en amont, du traitement de leurs données personnelles, si bien qu’ils doivent en être informés. C’est également dans un souci d’information claire que les députés ont insisté pour que la pratique des politiques de confidentialité écrites en “petits caractères” soit aboli. De plus, le consentement pourra être révocable.

Cette maîtrise des données se poursuit par la confirmation d’un droit « à l’oubli », entériné par le règlement, qui avait été consacré par la Cour de justice de l’Union européenne le 13 mai 2014 dans son arrêt « Google Spain ». Il se traduit par un droit au déréférencement. Il permet aux citoyens et résidents européens de demander la suppression des résultats de recherches basées sur leur nom qui seraient « insuffisants, non pertinents, obsolètes ou excessifs au regard des finalités pour lesquelles elles sont collectées », sous réserve que cette demande procède d’un motif légitime et d’un équilibre entre la protection des données personnelles, le droit à l’information du public et la liberté d’expression.

Autre avancée majeure, un nouveau droit à la portabilité des données à vu le jour. Il permet aux utilisateurs de demander de façon plus simple le transfert de leurs données d’un service vers un autre. Cela va non seulement permettre aux citoyens de renforcer leurs droits en matière de protection de leurs données personnelles, mais également stimuler la concurrence entre les services, là encore au bénéfice des utilisateurs.

Cette prérogative sera au cœur des préoccupations des prestataires de services, puisqu’ils devront la concilier avec le principe d’accountability, c’est à dire le principe de responsabilité dont sont tenus les responsables de traitement, éternel corollaire à l’obligation de sécurisation du traitement des données. En ce sens, le règlement prévoit l’obligation, pour les entreprises victimes de fuite de données, de le signaler aux régulateurs nationaux sous 72 heures. Par ailleurs, les entreprises dont l’activité principale est le traitement de données devront désigner un agent de protection des données, notamment dans les cas où elles gèrent une quantité importe de données personnelles « sensibles ».

D’autre part, d’importants pouvoirs de sanction des « CNIL » européennes ont été mis en place, si bien qu’elles pourront imposer des sanctions financières pour le moins dissuasives en cas de non respect des obligations pesant sur les entreprises. L’amende maximale s’élèvera à 4 % du chiffre d’affaires annuel mondial pour le contrevenant. Pour renfoncer ce dispositif, l’application du présent règlement sera étendue aux sociétés qui comptent des utilisateurs dans l’Union européenne, et cela même si elles sont établies à l’étranger.

Un accord salutaire mais pas salvateur :

Pour Félix BRAZ, président du Conseil : « Il s’agit d’un accord fondamental aux conséquences importantes. Cette réforme ne renforce pas seulement les droits des citoyens, elle adapte également, au profit des entreprises, les règles à l’ère du numérique, tout en réduisant les charges administratives. Il s’agit de textes ambitieux et tournés vers l’avenir ».

« Les nouvelles règles vont rendre aux utilisateurs le droit de décider quant à leurs propres données privées », a déclaré Jan Philipp Albrecht, député au Parlement européen. « Dans le même temps, les nouvelles règles donneront aux entreprises une sécurité juridique et des chances de concurrence. Elles vont établir une unique norme de protection des données, commune à toute l’Europe. », a-t-il ajouté.

Force est de constater que ce texte consacre indéniablement un standard élevé de protection des données personnelles, et doit être accueilli avec toute la ferveur qu’il mérite. Mais finalement, il n’est pas si éloigné du projet initial. On ne peut donc que s’interroger sur la lenteur du processus décisionnel.

Le texte a inévitablement déçu. Certains n’y voient qu’une parodie de l’intention originelle. Cela est le cas de plusieurs associations, dont l’EDRi (European Digital rights) et Privacy International, qui dans un communiqué commun publié le 17 décembre 2015, ont déploré le manque d’ambition du futur règlement, en constatant que « l’essentiel a été sauvé » mais que le texte n’est qu’une « parodie de l’intention originale » en déplorant le fait que « le texte final prévoit plus d’exceptions que la législation précédente n’avait d’articles ». Cela est en effet illustré par le bruit qu’avait fait l’article 8 concernant l’âge minimum requis pour qu’un mineur puisse s’inscrire sur un réseau social sans accord parental, mais plus largement pour consentir seul au traitement de ses données personnelles. En définitive, le texte retient l’âge de 16 ans, mais laisse à l’appréciation des Etats membres le soin de déroger à cette règle du fait de sa propre législation.

Ce constat n’est par ailleurs pas vain, puisque le texte prévoit que les Etats membres pourront prévoir d’autres conditions afin d’étendre ou au contraire limiter les possibilités de traitement des données génétiques, biométriques ou de santé. De même, les données sensibles pourront être traités à des fins de santé publique, notion largement définie par ailleurs, et dans l’intérêt du public, sans consentement (à condition que ce traitement trouve une base légale dans la législation des Etats membres ou la législation européenne). Enfin, les Etats conservent la faculté de prévoir des dérogations qui s’avèreraient nécessaires aux fins de sécurité nationale notamment (tout en respectant les principes de nécessité et de proportionnalité ainsi que le droit à la protection des données personnelles, conformément à la jurisprudence de la Cour de justice).

Nonobstant son caractère imparfait,comme tout texte de compromis, cet accord marque néanmoins une avancée significative pour la protection qu’offre le droit à la protection des données à caractère personnel.

SOURCES:

CUVELLIEZ (C.), « Le nouveau paquet règlementaire sur la vie privée : serrage européen de vis en vue », lesechos.fr, mis en ligne le 18 décembre 2015, consulté le 23 décembre 2015, <http://www.lesechos.fr/idees-debats/cercle/cercle-146007-le-nouveau-paquet-reglementaire-sur-la-vie-privee-serrage-europeen-de-vis-en-vue-1186079.php#Xtor=AD-6000>

GUITON (A.), « L’Europe s’accorde sur la protection des données personnelles », liberation.fr, mis en ligne le 17 décembre 2015, consulté le 19 décembre 2015, <http://www.liberation.fr/futurs/2015/12/17/l-europe-s-accorde-sur-la-protection-des-donnees-personnelles_1421077 >

ULDALL (R.), « De nouvelles règles sur la protection des données placent les citoyens aux commandes », europarl.europa.eu, mis en ligne le 17 décembre 2015, consulté le 24 décembre 2015, <http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes>

MOLE (A.) et alii, « Agreement on general data protection regulation », twobirds.com, mis en ligne le 18 décembre 2015, consulté le 22 décembre 2015, <http://www.twobirds.com/en/news/articles/2015/global/agreement-on-general-data-protection-regulation>