De manière concrète, le "Paquet protection des données" regroupe deux textes, un règlement et une directive. Le premier pose les principes généraux de la protection des données personnelles, la seconde traite de l'utilisation de celles-ci dans les secteurs de la police et de la justice pénale. Ces textes ont, avant tout, le mérite d'exister. Ils sont le résultat d'un compromis.
Le droit de contrôle sur ses données personnelles
Le règlement général sur la protection des données (RGPD) vise à résoudre ce que le Premier ministre luxembourgeois, Xavier Bettel, a qualifié de "quadrature du cercle". Il s'agit à la fois de répondre aux besoins formulés par les entreprises du secteur de l'économie numérique et de protéger les données personnelles.
Les citoyens de l'Union européenne se voient reconnaître un certain nombre de droits. Le plus important est sans doute le principe du consentement à la collecte et à la conservation des données, droit qui constitue l'une des spécificités du droit européen. Les entreprises américaines du secteur ne pourront donc plus mettre en oeuvre une présomption de consentement, laissant ensuite la malheureuse victime européenne contester la collecte de ses données personnelles devant un tribunal situé à Palo Alto. D'une manière générale, ces entreprises devront d'ailleurs fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles.
Le droit à la portabilité des données personnelles est également garanti, permettant à la personne de transférer ses données d'un prestataire de services à un autre. Si la consécration d'un tel droit n'est pas sans intérêt, on peut néanmoins s'interroger sur les instruments à la disposition de l'intéressé lui permettant de s'assurer que l'entreprise qu'il souhaite quitter ne conserver pas ses données, à des fins commerciales par exemple.
Le droit à l'oubli vient enfin compléter le droit au déréférencement déjà garanti par la Cour de justice de l'Union européenne depuis sa décision du 13 mai 2014 Google Spain NL. De manière très simple, le règlement prévoit la suppression des données à la demande de l'individu, dès lors qu'il ne souhaite plus leur conservation et qu'aucun motif légitime ne la justifie.
Ces éléments sont loin d'être négligeables, même si l'on observe que le texte européen n'est pas tout-à-fait aussi ambitieux que l'on aurait pu le souhaiter.
Tout d'abord, certains points n'ont pas fait l'objet d'un accord. C'est le cas notamment de la question de l'accord parental nécessaire pour s'inscrire sur un réseau social. Certains Etats souhaitaient le maintien du statu quo à l'âge de treize ans, d'autres se montraient plus rigoureux et désiraient interdire les réseaux sociaux aux moins de seize ans. Finalement, la question a été écartée du "paquet". Sans doute a-t-on quelque peu baissé les bras devant les difficultés de l'entreprise. Si l'on observe ainsi que Facebook interdit effectivement l'inscription aux enfants de moins de treize ans, force est de constater que le réseau social n'est guère en mesure de vérifier l'âge réel de ses adhérents. Il n'est pas exclu, en même temps, que le réseau social ait effectué un lobbying efficace durant la négociation du règlement européen.
Vie privée. René Magritte. 1946 |
Les concessions aux entreprises
Ensuite, ces éléments de protection des droits de l'individu ont été acquis au prix de concessions aux opérateurs du secteur. Ils ont remporté une véritable victoire en faisant intégrer dans le règlement le principe selon lequel la protection des données peut être intégrée aux produits et services dès la phase initiale du système. Ce principe de "Privacy In Design" leur permet ainsi de formuler ensuite une simple déclaration de la conformité de leur système à la législation en vigueur, ce qui évite le contrôle a priori des autorités chargées de la protection des données. Cette analyse repose, à l'évidence, sur une vision très optimiste de la volonté des entreprises de se soumettre au droit de l'Union européenne.
Cette impression est renforcée par les avantages offerts aux petites et moyennes entreprises (PME) qui sont dispensées d'un grand nombre de procédures : absence de notification des traitements de données personnelles aux autorités de contrôle, absence de désignation en leur sein d'un délégué à la protection des données dès lors que le traitement n'est pas leur coeur de métier, dispense de l'obligation d'étude d'impact de leurs fichiers. Les PME se voient même offrir la possibilité de faire payer les demandes d'accès aux données personnelles lorsqu'elles les jugent infondées ou excessives. La liste de ces avantages conduirait sans doute un avocat peu soucieux de ces préoccupations à conseiller à une multinationale américaine de créer des PME pour exercer son activité au sein de l'Union européenne, dans le seul but d'échapper aux règles les plus contraignantes du droit européen de la protection des données.
La coopération policière
La directive vise, quant à elle, à concilier protection des données personnelles et échange entre les autorités répressives au sein de l'Union. Il est évident que les évènements survenus à Paris le 13 novembre 2013 ont mis en lumière la nécessité de l'échange d'informations dans le cadre de la lutte contre le terrorisme. Ils ne sont donc pas étrangers à l'accord intervenu dans ce domaine.
Le texte vise d'abord à simplifier le droit applicable par les autorités policières et judiciaires. C'est ainsi que le texte s'applique de manière indifférenciée aux flux transfrontières de données privées et aux informations transmises par des services policiers ou judiciaires étrangers. D'une manière générale, elle établit un secret des sources renforcé pour les autorités policières. C'est ainsi qu'elle peuvent refuser de confirmer ou d'infirmer qu'elles disposent de données personnelles, dans le but de ne pas compromettre les investigations en cours.
L'objet de la directive est, avant tout, de permettre aux forces de l'ordre des Etats membres d'échanger plus facilement les informations utiles aux enquêtes, et donc de faciliter la lutte contre le terrorisme et la grande criminalité.
Dans ce cas, la directive se borne à rappeler les garanties élémentaires qui s'appliquent en matière de collecte et de conservations de données personnelles à des fins de sécurité publique. Au sein de l'Union, tout traitement de ce type de données devra ainsi respecter les principes de nécessité, de proportionnalité et de légalité, principes anciens qui figuraient déjà dans la loi française du 6 janvier 1978. Il en est de même du contrôle qui doit être assuré par des autorités nationales indépendantes, contrôle qui doit s'accompagner d'un droit à un recours juridictionnel.
Le standard européen des protection des données est, incontestablement, en cours de construction. Il est loin d'être parfait, mais on observe qu'il n'interdit pas aux Etats membres de mettre en oeuvre des règles plus exigeantes. Dans tous les cas, l'important est que ces textes établissent un droit effectif, c'est-à-dire un droit assorti de sanctions. En cas de non-respect des obligations imposées par le règlement, les autorités nationales pourront ainsi infliger aux sociétés concernées une amende allant jusqu'à 4 % de leur chiffre d'affaires. Le pourcentage peut sembler modeste, mais il peut conduire à une amende considérable pour les multinationales du secteur. Ces deux textes, qui devraient entrer en vigueur dans un délai de deux ans, devraient ainsi offrir aux autorités de protection des Etats membres un instrument fort utile pour faire comprendre aux entreprises du secteur que l'Europe n'est pas seulement un territoire colonisé par le droit américain mais un espace juridique autonome.
Aucun commentaire:
Enregistrer un commentaire