Révision de la législation sur la protection des données à caractère personnel

Par Audrey Duquenne | 24 janvier 2013

Pour citer cet article : Audrey Duquenne, “Révision de la législation sur la protection des données à caractère personnel”, Nouvelle Europe [en ligne], Jeudi 24 janvier 2013, http://www.nouvelle-europe.eu/node/1624, consulté le 30 mars 2017

La publication des dernières photos de vacances sur Facebook, les formulaires remplis pour obtenir une carte de fidélité : les données à caractère personnel sont de formidables outils pour les entreprises mais peuvent devenir un cauchemar pour les individus. Face au développement d’Internet et des réseaux sociaux, la Commission a décidé de revoir sa législation.

Par données à caractère personnel, la Commission entend « toute information concernant une personne physique identifiée ou identifiable ». Elles constituent une mine d’or pour les entreprises, qui peuvent élaborer des bases de données clients et ainsi définir et toucher plus facilement leur public cible. Cependant, la frontière entre traitement légal de ces données et atteinte à la vie privée est très fine, et les effets en sont décuplés par le biais du marché intérieur.

Afin de trouver un équilibre entre les intérêts économiques des entreprises, que l’Union européenne soutient traditionnellement, et les droits fondamentaux des individus, une directive a été adoptée en 1995 (directive 95/46/CE). Ce texte pose les principes essentiels en matière de traitement de données à caractère personnel, qui va de la collecte à la diffusion de ces dernières, en passant par leur conservation.

Adaptation et harmonisation

Sans renier ces principes, la Commission s’est vue dans l’obligation de répondre au développement rapide d’Internet et des réseaux sociaux. C’est pourquoi elle a proposé, en janvier 2012, une révision de la législation actuelle comprenant des mesures emblématiques, notamment sur le profilage et sur le droit à l’oubli numérique.

A cette indispensable adaptation aux évolutions technologiques s’ajoute le constat que les dispositions issues de la directive 95/46/CE n’ont pas conduit à une harmonisation parfaite des droits des citoyens dans l’ensemble des Etats membres. La réponse proposée par la Commission s’avère ici radicale : la directive deviendra un règlement. Cela signifie que, là où les Etats membres s’étaient vu précédemment fixer des objectifs généraux avec une totale liberté concernant les moyens juridiques employés pour les atteindre, le nouveau texte sera directement applicable dans tous ses éléments. Il sera aussi nettement plus détaillé, comme le montre le passage de 34 à 91 articles.

Les principaux articles : entre protection du citoyen et enjeux économiques

La proposition de la Commission est particulièrement dense. On y trouve des éléments permettant de renforcer la protection des citoyens tout comme des mesures liées à la rationalisation des procédures pour les entreprises.

Dans la première catégorie, l’un des points les plus importants concerne le consentement. Si le mécanisme figurait déjà dans la directive, il devient ici obligatoirement explicite. Autrement dit, tout traitement des données (sauf exception liée par exemple à la sauvegarde des intérêts vitaux de la personne concernée ou relevant d’une mission effectuée dans l’intérêt général) devrait au préalable faire l’objet d’un acte positif de la part de la personne concernée marquant son consentement. Concrètement, une case à cocher serait acceptable, alors qu’une case à décocher ne le serait pas. Le texte renforce également le droit des enfants en interdisant le traitement de données pour les enfants de moins de 13 ans, sauf autorisation parentale.

Le profilage, très utilisé par les entreprises afin de toucher plus efficacement leur clientèle, fait aussi l’objet de restrictions de la part de la Commission. Ainsi, elle estime que tout individu a le droit de ne pas faire l’objet de mesures relatives au profilage, sauf cas particuliers.

Mais le point le plus novateur de ce texte en matière de protection des citoyens – et le plus discuté - est probablement le droit à l’oubli numérique et à l’effacement. Il permettrait à toute personne d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant. Si l’importance croissante de l’e-réputation amène à trouver l’idée séduisante, voire indispensable, de nombreuses questions se posent quant à son efficacité. En effet, comme l’indique un article de Matthieu Wiedenhoff, plusieurs cas ont montré qu’une demande de retrait de données d'un site web avait régulièrement pour conséquence une diffusion plus large et incontrôlée des données concernées.

Pour couronner le tout, la Commission propose un nouvel article consacré aux sanctions, qui se voient particulièrement développées par rapport à la directive 95/46/CE. Ainsi, là où la directive 95/46/CE laissait les Etats membres libres de décider des sanctions à appliquer, le nouveau texte prévoit maintenant des sanctions pouvant s’élever à 1 000 000 d’euros. A noter que, pour le cas de la France, les amendes prévues par la Cnil ne dépassent actuellement pas 100 000 euros.

Du côté des entreprises, on assiste à une tentative de simplification des procédures, notamment au niveau de la désignation de l’autorité de contrôle compétente. Dans le cas d’une entreprise établie dans plusieurs Etats membres, la Commission indique que l’autorité de contrôle compétente est celle de l’Etat membre d’établissement principal. En résumé, cela signifie que, Google étant installé en Irlande, l’autorité de contrôle compétente à son sujet serait la Cnil irlandaise, ce qui n’est pas du goût de la Cnil française, qui craint un éloignement entre les citoyens et leur autorité nationale.

En outre, une section dédiée au délégué à la protection des données, appelé CIL, c'est-à-dire « correspondant informatique et libertés » en France, fait son apparition dans la proposition de la Commission. Elle indique que ce dernier est obligatoire pour les traitements effectués par les autorités ou organismes publics ou par une entreprise employant plus de 250 personnes. Il est notamment chargé de contrôler l’application du règlement par le responsable du traitement.

Parallèlement à cet ensemble de nouvelles mesures, on note que la Commission a glissé dans sa proposition un nombre impressionnant d’actes délégués. Il s’agit d’une nouveauté introduite par le Traité de Lisbonne qui permet à cette dernière d’adopter des mesures modifiant des éléments considérés comme non essentiels dans un acte législatif. Ils sont par exemple souvent utilisés afin de préciser des détails techniques. Mais ici, avec plus de 50 actes délégués pour 90 articles, de nombreuses voix se sont élevées pour critiquer ce qu’elles ont perçu comme une tentative d’extension des compétences de la Commission entraînant une importante insécurité juridique.

De lourds enjeux et peu de temps

Le projet de rapport rédigé par l’eurodéputé responsable sur le fond, Jan Philipp Albrecht (Verts, Allemagne), a été publié début janvier 2013. Il contient 350 propositions d’amendements. A titre de comparaison, le rapporteur du projet de directive sur les passations de marchés publics, actuellement en cours de discussions (difficiles) au Parlement et au Conseil, avait proposé 166 amendements. Le rapport fait aujourd’hui l’objet de 1 593 amendements de la part des autres députés, et son vote en commission IMCO (Marché intérieur et protection des consommateurs) du Parlement a été reporté, le temps permettant de les analyser ayant été jugé trop court.

Cela peut donner un aperçu de ce qui pourrait se passer pour la protection des données à caractère personnel, les enjeux étant considérables pour les entreprises, les citoyens et les autorités nationales de contrôle. Ainsi, si le projet d’avis du rapporteur pour la commission ITRE (Industrie, recherche et énergie), Sean Kelly (PPE, Irlande), est particulièrement favorable aux entreprises et cherche à alléger les procédures au maximum, Jan Philipp Albrecht semble plutôt faire de l’amélioration de la protection des citoyens sa priorité. Les récents débats au Parlement montrent qu'un compromis sera très difficile à atteindre, même si le calendrier initial de négociations avec le Conseil pour mai 2013 a pour l'instant été maintenu.

Conclusion

La révision de la législation européenne relative à la protection des données à caractère personnel s'annonce donc indispensable, mais aussi particulièrement sensible. L'eurodéputée Sophia in't Veld (ADLE, Pays-Bas) a d'ailleurs indiqué lors du débat en commission LIBE (libertés civiles, justice et affaires intérieures) du 10 janvier 2012 avoir rarement subi autant de lobbying de la part des différents acteurs bruxellois.

Les estimations les plus optimistes prévoient une adoption du texte pour fin 2013. Les élections européennes étant prévues pour juin 2014, le Parlement européen et le Conseil ne disposeront donc que d’une très courte période de négociation en cas de désaccord s’ils souhaitent une mise en œuvre rapide de la nouvelle législation.

Aller plus loin

Sur Internet :

Documents officiels :

Source photo : QWERTY clavier

Ajouter un commentaire