La République numérique nous appelle

La principale caractéristique de la loi du 7 octobre 2016 pour une République numérique réside sans doute dans son ambition. Par sa référence à la République tout d'abord, référence qui s'accompagne d'un style qui n'est pas sans évoquer la peinture "pompier" :  "La République du 21e siècle sera nécessairement numérique : elle doit anticiper les changements à l’œuvre, en saisir pleinement les opportunités, et dessiner une société conforme à ses principes de liberté, d’égalité et de fraternité". Par sa volonté d'associer les citoyens à sa rédaction ensuite, et un site a permis à chacun de donner son opinion sur la loi, durant trois semaines, à l'automne 2015. Cette procédure a surtout permis l'intervention des associations actives dans ce secteur, même si leurs propositions n'ont pas toujours été suivies comme elles l'auraient souhaité. 

A l'issue d'un tel processus, certains espéraient sans doute un bouleversement complet du droit du numérique. Or, la loi Lemaire est sans doute républicaine mais elle n'est pas, pour autant, révolutionnaire. Si on la considère sous l'angle des libertés publiques, elle vise surtout à affirmer des principes fondateurs, souvent déjà connus mais qui bénéficient désormais d'un ancrage solide dans le droit positif.  Les prérogatives nouvelles offertes aux citoyens sont, en revanche, nettement plus modestes. 

Des principes libéraux

La loi du 7 octobre 2016 repose incontestablement sur un principe libéral. En témoigne cette "ouverture de l'accès aux données publiques", que l'on qualifie généralement d'Open Data. L'idée générale est celle d'un accès libre aux documents administratifs et aux informations publiques, ouvert à la fois aux collectivités publiques et aux individus. Il s'agit donc d'un principe d'ouverture des données publiques, à laquelle il demeure cependant possible d'opposer les secrets protégés par la loi. Sur ce plan, la loi de 2016 constitue une seconde étape, après la loi Valter du 29 décembre 2015, qui posait un principe de gratuité des données publiques (avec tout de même un certain nombre d'exceptions). Aujourd'hui, c'est donc un véritable service public de la donnée publique qui est créé.

De la même manière, elle autorise la réutilisation des données publiques par les personnes privées, principe qui existait déjà dans le code des relations entre l'administration et le public (art. L 321-1 et s.). mais qui est désormais étendu aux personnes publiques ou privées gérant un service public industriel et commercial. Il reste à voir comment cette disposition nouvelle sera appliquée. En effet, s'il est désormais permis de penser que des données statistiques relatives à l'énergie ou à l'environnement sont désormais publiques, le secret industriel et commercial peut demeurer opposable dans ces domaines. 

Le principe de neutralité du net, consacré par la loi Lemaire, repose sur la même perspective libérale. Il affirme que les réseaux doivent transporter les flux d'information de manière neutre, quels que soient leur nature, leur contenu, leur expéditeur ou leur destinataire. Là encore, l'évolution avait été engagée dès la loi du 24 août 2011 qui avait mis en oeuvre certaines mesures concrètes concernant les pratiques d'acheminement du trafic par les opérateurs. Elle était désormais rendue indispensable par le règlement européen du 25 novembre 2015 "établissant des mesures relatives à l'internet ouvert". Observons cependant, et cette formulation témoigne du caractère toujours novateur du droit français en ce domaine, que la loi Lemaire ne se contente pas de la référence à l'"internet ouvert", notion dont le contenu manque pour le moins de clarté, et ose formuler expressément le principe de neutralité du net. 

La neutralité du net s'accompagne, logiquement, d'une interdiction faite aux fournisseurs d'accès  d'interrompre la ligne de "toute personne ou famille éprouvant des difficultés particulières". Semblable à ce qui existe en matière d'accès au téléphone ou à l'électricité, cette règle n'interdit cependant pas de réduire le débit dès lors que l'accès demeure fonctionnel.

Le renforcement des pouvoirs de la CNIL

Moins symbolique, le renforcement des pouvoirs de la CNIL a surtout pour objet de lui permettre de lutter contre les géants du secteur, les fameurs GAFA (Google, Amazon, Facebook, Apple). Les amendes susceptibles d'être infligées par la Commission passent ainsi de 150 000 € à trois millions d'euros. Cette évolution n'est qu'un début, car le règlement européen du 27 avril 2016 sur la protection des données personnelles autorisera la CNIL à prononcer des amendes de vingt millions d'euros ou de 4 % du chiffre d'affaires annuel mondial des entreprises concernées. La loi Lemaire se présente donc comme un texte transitoire sur ce point, dès lors que le règlement sera applicable dès janvier 2018. En tout état de cause, ce ne sont pas tant les pouvoirs de la CNIL qui seront renforcés que ceux du G 29, ensemble qui regroupe l'ensemble des autorités de contrôle des Etats de l'Union européenne. Un tel renforcement du pouvoir de sanction était indispensable, en particulier dans le contentieux qui oppose l'Union européenne à Google. 

D'après Antoine Gros. Figure allégorique de la République. 1848

Une protection modeste des droits individuels

Du point du vue de la protection la plus immédiate du citoyen, la loi du 7 octobre 2016 n'est pas sans intérêt mais son apport demeure modeste. Il se limite à quelques dispositions ponctuelles. 

On ne peut que se réjouir que le Revenge Porn puisse enfin être sérieusement réprimé. Cette pratique consiste à diffuser sur internet des images intimes de son ex-compagne ou de son ex-compagne. Or le législateur n'avait sans doute pas prévu une telle bassesse, et la sanction pénale était impossible dès lors que l'intéressée avait donné son consentement, au moins implicite, au cliché. Dans ces conditions, le droit positif ne prévoyait pas un nouveau consentement en cas de diffusion sur le net, et la Cour de cassation, dans un arrêt du 16 mars 2016, n'avait pu que constater son impuissance à réprimer une telle pratique. C'est désormais chose faite et la loi ajoute au code pénal un nouvel article 226-2-1 qui punit d'une peine d'emprisonnement de deux ans et d'une amende de 60 000 € le fait de diffuser sur le net, sans le consentement de l'intéressé, des images "présentant un caractère sexuel". La loi Lemaire comble donc une lacune du droit. C'est évidemment très utile, mais c'est aussi très ponctuel. 

La loi prévoit par ailleurs que les auteurs et leurs ayants-droit ne pourront pas s'opposer à la liberté   de "photographier des oeuvres architecturales et des sculptures", dès lors que le cliché est dépourvu de finalité commerciale. A dire vrai, on ne peut s'empêcher d'être surpris à l'idée qu'il pourrait être interdit de photographier la Tour Eiffel..Là encore, il s'agit de simplifier le droit, car certains bâtiments sont protégés par le droit d'auteur, et d'autres pas. On arrivait ainsi à des situations ubuesques où l'on pouvait librement photographier le Louvre, mais pas la pyramide du Louvre, la Tour Eiffel, mais pas ses éclairages. Sur ce point, la loi fait évidemment oeuvre utile, mais le citoyen lambda n'en tire aucune prérogative supplémentaire. Il avait depuis longtemps compris qu'il pouvait librement faire un selfie sur le Pont des arts.

Enfin, le droit à l'oubli doit être évoqué, pour constater que la loi du 7 octobre 2016 n'en fait qu'une consécration extrêmement modeste. Son article 63 ne concerne en effet que les mineurs qui se voient offrir le droit d'obtenir l'effacement des données les concernant déposées sur les réseaux sociaux, y compris par eux-mêmes. Inspirées de la "loi gomme" californienne, ces dispositions permettent de réparer les erreurs de jeunesse, ce qui n'est pas négligeable. 

En revanche, force est de constater que le droit à l'oubli, en tant que tel, n'est pas consacré par la loi. La question ne manquera pourtant pas de se poser lorsque le "Paquet protection des données" adopté le 15 décembre 2015 par le Parlement européen, la Commission et le Conseil sera en vigueur. Il comporte un projet de directive dont l'article 17 consacre un "droit à l'oubli" numérique qui impose aux responsables d'un traitement d'effacer tout lien vers des données personnelles divulguées ainsi que vers les copies qui en ont été faites. Il faut ajouter que les juges français n'ont pas attendu le droit européen, et la 1ère Chambre civile de la Cour de cassation, évoque dans un arrêt du 12 mai 2016, tout aussi expressément, "le droit à l'oubli numérique", à propos d'une demande de désindexation du nom du requérant des archives informatisées du journal Les Echos. 

Derrière une apparente ambition, et une communication un peu boursouflée, la loi Lemaire se présente donc comme un texte composite, sans doute le résultat de négociations auxquelles beaucoup de lobbies ont participé. Certaines dispositions posent des principes, certes déjà connus mais qui acquièrent désormais une puissance nouvelle. D'autres s'efforcent de rendre plus efficace le droit positif, sans le modifier. D'autres enfin interviennent à la marge, pour combler des lacunes ou colmater des brèches. Tout cela n'est pas inutile, loin de là. Mais il n'en demeure pas moins que l'intervention, tellement saluée, des citoyens dans le processus législatif n'a pas permis de renforcer leurs droits de manière substantielle. Une constatation à méditer par tous ceux qui considèrent qu'internet constitue désormais l'outil démocratique par excellence.

Sur la protection des données : Chapitre 8 section 5 du manuel de libertés publiques sur internet

Le TAFTA ou le déficit démocratique

Le débat sur le TAFTA se développe dans l'opinion publique, au moment précis où les observateurs se montrent de plus en plus sceptiques sur son avenir. A dire vrai, on ne sait pas grand-chose du TAFTA, si ce n'est qu'il a pour objet de créer une zone de libre-échange entre les Etats-Unis et l'Union européenne. Les négociations, commencées en 2013 concernent donc à la fois la suppression des barrières douanières, mais aussi des réglementations qui entravent la libre circulation.

Alors que s'ouvre le treizième round de négociation, les critiques s'amplifient. Du côté américain, on sait que les deux principaux candidats à la Maison Blanche, Hilary Clinton et Donald Trump n'y sont pas favorables. Les Etats membres de l'Union européenne sont également divisés. Angela Merkel soutient les efforts d'Obama en faveur d'une signature rapide mais François Hollande prend nettement ses distances, affirmant qu'il n'est pas prêt à s'engager dans un dispositif qui porterait notamment atteinte aux intérêts de l'agriculture française. Si le moteur franco-allemand semble en panne, la Commission européenne continue, quant à elle, à négocier le TAFTA, comme si la volonté de l'Union n'était plus la somme de celles de ses Etats membres. 

La bataille de la terminologie

Le TAFTA a déjà perdu la bataille de la terminologie. Son nom officiel est Transatlantic Trade and Investment Partnership  (TTIP) ou, en français, Partenariat Transatlantique de Commerce et d'Investissement (PTCI). En fait, le TAFTA est le nom donné au traité par ses opposants, le Transatlantic Free Trade Agreement désignant tout simplement un accord de libre échange. L'évolution est loin d'être neutre : alors qu'un partenariat repose sur l'égalité entre les parties, une zone de libre échange n'est pas nécessairement égalitaire.  On perçoit déjà, en filigrane, l'idée que le TAFTA trouve son origine dans la volonté américaine de promouvoir ses intérêts et ceux de ses entreprises.

Considéré à travers le prisme des libertés publiques, le TAFTA apparaît comme un véritable cas d'école illustrant le déficit démocratique dont souffre l'Union européenne. 

Opacité de la procédure

En 2013, les 28 Etats membres ont délégué à l'Union européenne la mission de négocier le TAFTA. Le mandat, qui comporte 46 articles, a été rendu public quelques mois après le début des négociations. Il formule des principes généraux et annonce que l'accord comportera trois volets  : "l'accès aux marchés, la convergence réglementaire et les règles commerciales permettant de relever les défis mondiaux".

Sur cette base, est créé un "groupe de travail de haut niveau" UE/Etats-Unis. Ses premières  recommandations sont toutes formulées dans des termes extrêmement vagues. C'est ainsi qu'il déclare, sans davantage de précision, qu'il "faudra renforcer les programmes conçus pour faciliter la reconversion des secteurs les plus affectés par le partenariat". Il doit donc y avoir des "secteurs affectés"... 

Les rounds de négociation se déroulent à huis-clos. Du côté américain, le secret des négociations est absolu et aucun document n'est publié. Du côté européen, en revanche, la Commission publie des masses de documents, en insistant sur sa volonté de transparence. Ces documents sont tous diffusés en anglais, et le nouveau partenariat est donc déjà parvenu à créer une vaste de zone... même pas de libres échanges, mais de diffusion unilatérale en anglais. La lecture de ces pièces laisse cependant les commentateurs dans l'incertitude. Elles portent sur les grandes lignes, les principes, qui guident les négociateurs, mais les propositions détaillées demeurent confidentielles. Le rôle des lobbies n'apparaît jamais dans les documents, alors même que sur 130 réunions préparatoires où étaient invitées les "parties prenantes", 119 se sont déroulées en présence d'entreprises et de lobbies industriels.

Dollar. Gilles et Julien. 1932

Opacité du contenu des négociations

D'une manière générale, beaucoup de documents diffusés relèvent davantage de la communication que de la transparence. C'est ainsi qu'un rapport commandé par la Commission au Center for Economic Policy Research (CEPR) annonce que le TAFTA apportera une croissance économique de 119 milliards d'euros par an à l'UE, chiffre que l'on doit plus ou moins croire sur parole. Il est vrai qu'il est toujours préférable de s'adresser à un Think Tank britannique pour connaître les immenses avantages de la coopération avec les Etats-Unis.

Cette pratique du secret est justifiée par deux arguments. Le premier d'entre eux réside dans l'idée que l'on ne peut dévoiler toutes ses armes au début d'une négociation. Certes, mais le temps du début de la négociation est bien passé, alors que le Président Obama fait pression pour  que le TAFTA soit signé avant la fin de l'année. Le second argument réside dans le secret des affaires, et l'opacité de cette négociation est le reflet de la nouvelle conception absolutiste de ce secret, développée par la récente directive adoptée par le parlement européen il y a à peine plus d'une semaine. Les mauvais esprits pourraient penser que cette directive constitue un acte préparatoire à la mise en oeuvre du TAFTA.

La justice mise à l'écart

Les entreprises n'ont pas seulement obtenu la reconnaissance d'un secret des affaires quasi-absolu. Le cadeau essentiel que leur fait le TAFTA réside dans le mode de règlement des différends commerciaux. L'"Investor-State Dispute Settlement" (ISDS), système d'arbitrage, aura pour fonction de régler les litiges, y compris ceux opposant un Etat à une entreprise. 

La justice des Etats est exclue, et elle n'a d'ailleurs pas eu de porte-parole pour défendre la primauté de l'état de droit lors des négociations. Les entreprises, surtout les firmes d'outre-atlantique, préfèrent l'arbitrage, plus discret qu'une procédure judiciaire et le plus souvent mis en oeuvre selon une procédure anglo-saxonne. Le rêve des firmes américaines de se soustraire complètement au droit européen, droit de la concurrence ou droit de la protection des données personnelles par exemple, est donc en passe de se réaliser. Et l'arbitrage permet de rester entre soi, en faisant appel à des arbitres sensibles aux intérêts des entreprises. En témoigne le célèbre arbitrage Tapie.

Les citoyens mis à l'écart

Derrière ces mises à l'écart des citoyens et des juges apparaît, bien plus gravement, une mise à l'écart de la démocratie. Car si le citoyen est exclu de l'information, il est aussi exclu de la participation. La Commission, chacun le sait, n'est pas une institution démocratique. Rappelons que ses membres ne sont pas élus mais désignés par le Conseil européen, le parlement européen n'intervenant que par un vote d'approbation. Quant au Président de la Commission, il est "proposé" au parlement par ce même Conseil, statuant à la majorité qualifiée. Il est vrai que le traité de Lisbonne énonce que cette proposition doit être effectuée « en tenant compte des élections au Parlement européen, et après avoir procédé aux consultations appropriées ». Une telle disposition n'a pourtant pas pour effet de conférer une légitimité démocratique au Président.

Force est donc de constater que l'instance qui négocie le traité a sans doute une légitimité institutionnelle, mais certainement pas une légitimité démocratique. Les citoyens des Etats membres sont en dehors du processus, comme la plupart de leurs dirigeants élus démocratiquement.

L'effet boomerang de la démocratie

Mais la démocratie, exclue de la procédure de négociation, va sans doute reparaître au moment de l'adoption du traité. Et l'effet boomerang risque d'être dévastateur.
Aux Etats-Unis, la ratification du traité sera directement de la compétence du Congrès, et il est très probable que la procédure ne pourra être menée à bien avant la fin du présent mandat. Qu'en sera-t-lors du prochain, si l'on considère qu'Hilary Clinton et Donald Trump sont réservés à l'égard du TAFTA ? Y aura-t-il une majorité au Congrès pour le voter ? Pour le moment, on l'ignore.

Au sein de l'UE, la procédure est plus complexe. Le TAFTA doit d'abord recevoir l'accord des 28 Chefs d'Etat du Conseil qui statue à la majorité qualifiée (55 % des Etats représentant au moins 65 % de la population de l'Union). S'il passe cette étape, il sera soumis au parlement européen puis aux parlements de chaque Etat membre qui devront le ratifier en bloc, sans pouvoir l'amender. D'ores et déjà, la Grèce d'Alexis Tzipras menace d'opposer son veto. Quant aux Pays-Bas, ils prévoient la ratification par référendum, consultation qui a peu de chances d'obtenir une réponse positive. Le retour du processus démocratique dans le TAFTA conduirait ainsi à son abandon. Comme si la démocratie rejetait un corps étranger.

La directive "secret des affaires" et les lanceurs d'alerte

Le 14 avril 2016, le parlement européen a adopté la directive "protection des secrets d'affaires contre l'obtention, l'utilisation et la divulgation illicites". Ce texte a été proposé à la fin de l'année 2013 par Michel Barnier, alors commissaire au marché intérieur mais il était alors passé plus ou moins inaperçu. C'est seulement lors de son adoption par le Conseil des ministres un an plus tard qu'il a été découvert par différents groupements et associations qui lui reprochent de vouloir neutraliser les lanceurs d'alerte et entraver le travail de la presse. Comme souvent, leur réaction intervient tardivement, après que le texte ait été soigneusement verrouillé par les milieux industriels, particulièrement efficaces à Bruxelles grâce à l'intervention de cabinets de lobbying actifs et bien rémunérés.

L'intelligence économique

L'idée de protéger le secret des affaires n'a, en soi, rien de scandaleux. Rappelons que ce qu'il est désormais convenu d'appeler l'intelligence économique est un enjeu essentiel dans la compétition entre les entreprises, compétition désormais mondialisées et dans laquelle tous les coups sont permis, ou presque. On se souvient de la stagiaire chinoise de Valeo accusée, et condamnée, pour avoir volé des données informatiques, et de l'employé de chez Michelin qui essayait de vendre à Bridgestone les plans de pneumatiques innovants. Sans doute plus grave, les Etats-Unis n'hésitent pas à mettre au service de leurs industriels les outils d'interceptions électroniques gérés par la NSA. Plusieurs gros contrats d'entreprises françaises n'ont-ils pas capoté parce que leur concurrent américain se trouvait mystérieusement informé du détail des offres ?

Si la nécessité de protéger les secrets des entreprises ne fait aucun doute, il faut néanmoins s'interroger sur la directive européenne et sur son efficacité.

La définition du secret des affaires

La directive présente la caractéristique de ne pas définir son objet. Dans son préambule, elle précise ainsi qu'il "importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite".  L"'objet à protéger", ce peut être des savoir-faire ou des informations, dès lors qu'ils peuvent être considérés comme ayant une valeur commerciale, effective ou potentielle et que leur divulgation porte atteinte aux intérêts de l'entreprise (cons. 14). 

L'article 2 n'est guère plus explicite. Il précise que peuvent être couvertes par le "secret d'affaires" les informations qui répondent aux trois conditions cumulatives suivantes : 

1. Elles sont secrètes, ce qui signifie qu'elle "ne sont généralement pas connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'information en question, ou ne leur sont pas aisément accessibles". Les informations secrètes sont donc celles qui ne sont pas connues.
2. Elles ont une valeur commerciale parce qu'elles sont secrètes. Observons que l'entreprise qui décide de l'étendue de son secret est également seule à pouvoir apprécier sa valeur commerciale.
3. Enfin, elles ont fait l'objet de "dispositions raisonnables" destinées à les garder secrètes. Ces dispositions signifient que l'entreprise doit avoir organisé une procédure de protection de ses informations confidentielles, notamment un système d'habilitation et de classification interne.

En résumé, la définition du secret des affaires est purement tautologique : est secrète l'information que l'entreprise considère comme secrète. 

Sur ce point, la directive se montre encore plus laxiste que la proposition Carayon adoptée par l'Assemblée nationale en janvier 2012. Il définissait alors l'information couverte par le secret des affaires comme celle "dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de l'entreprise en portant atteinte à son potentiel scientifique ou technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle". Certes, la proposition était un couper-coller de l'Economic Espionage Act, loi américaine votée en 1996, sous la présidence de Bill Clinton. Par l'énumération des finalités possibles de la classification faite par les entreprises, elle permettait cependant un éventuel contrôle contentieux. Quoi qu'il en soit, la proposition Carayon a sombré avec l'alternance, son auteur ayant été renvoyé à ses études d'intelligence économique par ses électeurs.

On nous cache tout, on nous dit rien. Jacques Dutronc. 1967

Les lanceurs d'alerte

Le texte de la directive n'offre, en effet, aucune protection effective des lanceurs d'alerte. Cette formule, inspirée du terme anglo-saxon "Whistleblower", désigne toute personne qui décide de signaler à sa hiérarchie ou de mettre à la disposition du public, des informations dont elle a connaissance et qui mettent en lumière des actions illégales ou dangereuses. Le lanceur d'alerte n'est pas un délateur, mais bien davantage un informateur qui agit, ou tout au moins croit agir, dans l'intérêt général.  

Si l'on en croit la lettre de la directive, rien n'interdirait, par exemple, aux laboratoires Servier de poursuivre Irène Frachon qui a révélé le scandale du Médiator. N'a-t-elle pas porté à la connaissance du public des éléments qui "ne sont généralement pas connues" du grand public et qui portent préjudice à l'entreprise ? 

Il est vrai que le Préambule de la directive énonce que ses dispositions "ne devraient pas entraver les activités des lanceurs d’alertes. La protection des secrets d'affaires ne devrait dès lors pas s'étendre aux cas où la divulgation d'un secret d’affaires sert l'intérêt public dans la mesure où elle permet de révéler une faute professionnelle ou une autre faute ou une activité illégale directement pertinentes". Il convient toutefois de nuancer l'importance de ces dispositions. Elles figurent dans le Préambule et sont dépourvues de contenu normatif. En témoigne l'emploi du conditionnel qui montre bien que les auteurs entendent seulement énoncer le droit tel qu'il devrait être, dans quelques mois, ou dans quelques années, ou jamais. 

Un standard de protection moins élevé

 

Sur ce point, la directive propose un standard de protection inférieur à celui qui existe en droit français. Celui-ci n'est pourtant guère développé dans le domaine de la protection des lanceurs d'alerte.  

Pour les fonctionnaires, il se limite à l'article 6 du statut de 1983, issu de la loi du 6 août 2012.  Il y est précisé qu'aucune mesure concernant notamment le recrutement, la titularisation, la formation, la notation, la discipline, la promotion, l'affectation et la mutation ne peut être prise à l'égard d'un fonctionnaire parce qu'il a formulé un recours auprès d'un supérieur hiérarchique ou engagé une action en justice, ou encore apporté son témoignage dans des affaires touchant au harcèlement sexuel ou moral, ou encore à des pratiques discriminatoires. 

Dans les entreprises privées, le seul texte est la loi du 6 décembre 2013 relative à la fraude fiscale et à la grande délinquance économique et financière. Son article 35 énonce qu'"aucune personne ne peut être écartée d'une procédure de recrutement ou de l'accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné ou faire l'objet d'une mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération, d'intéressement (..), de formation, de reclassement, d'affectation,  (...) de mutation ou de renouvellement de contrat pour avoir relaté ou témoigné, de bonne fois, de faits constitutifs d'un délit ou d'un crime dont il aurait eu connaissance dans l'exercice de ses fonctions". Pour sanctionner de telles pratiques, la loi prévoit de renverser la charge de la preuve. En cas de contentieux, le chef d'entreprise devra démontrer que la mesure prise à l'encontre du salarié n'est pas motivée par les dénonciations effectuées par ce dernier.

Ces dispositions sont modestes, mais elles ont le mérite d'exister. La directive européenne, quant à elle, se borne à envisager un statut des lanceurs d'alerte, dans un avenir incertain. Le Parlement européen a ainsi refuser de lier son vote à l'adoption préalable d'un tel statut. 

Sur ce point, la directive semble aller à contre-courant du droit français. En effet, la question des lanceurs d'alerte est un sujet actuel, et on se souvient que le Président Hollande a remercié les lanceurs d'alerte au lendemain de la divulgation du scandale des Panama Papers. Le projet de loi Sapin II de lutte contre la corruption déposé à l'Assemblée nationale tout récemment, le 30 mars 2016, va dans le sens d'une meilleure protection, avec la création d'une Agence nationale de détection et de prévention de la corruption, chargée de conseiller les lanceurs d'alerte, voire de reprendre à son compte leurs révélations pour leur permettre de demeurer dans l'anonymat, ou encore de reprendre à sa charge les frais liés à d'éventuelles procédures judiciaires. De son côté, le Conseil d'Etat rend public son rapport 2016 sur "le droit d'alerte : signaler, traiter, protéger". Tout cela n'est sans doute par parfait et c'est un droit en cours de construction, mais c'est tout de même mieux que le vide abyssal de la directive européenne. Il est vrai que le lobbying est un peu moins développé à Paris qu'à Bruxelles.

Sur la protection des lanceurs d'alerte : Chapitre 9, section 1 B du manuel de libertés publiques sur internet.

Accord européen sur le "Paquet protection des données"

L'Union européenne est actuellement en crise et l'on ne cesse de mettre en évidence les divergences affectant les relations entre les Etats membres. De la crise de la dette à celle des migrants, du Brexit à l'échec du système Schengen, sans oublier les difficultés de la coopération en matière de lutte contre le terrorisme, les sujets d'inquiétudes ne manquent pas.

L'accord intervenu le 15 décembre 2015 entre le Parlement, la Commission et le Conseil sur la protection des données personnelles fait figure d'exception. Il a en effet été salué comme un "accord historique", formule employée par le gouvernement luxembourgeois pour saluer les efforts de la présidence luxembourgeoise du Conseil de l'Union européenne. Il est vrai que l'on est encore loin du terme de la procédure, car cet accord devra être confirmé par les vingt-huit Etats membres. Il n'empêche que  l'on voit se dessiner un droit européen de la protection des données.

De manière concrète, le "Paquet protection des données" regroupe deux textes, un règlement et une directive. Le premier pose les principes généraux de la protection des données personnelles, la seconde traite de l'utilisation de celles-ci dans les secteurs de la police et de la justice pénale. Ces textes ont, avant tout, le mérite d'exister. Ils sont le résultat d'un compromis.

Le droit de contrôle sur ses données personnelles

Le règlement général sur la protection des données (RGPD) vise à résoudre ce que le Premier ministre luxembourgeois, Xavier Bettel, a qualifié de "quadrature du cercle". Il s'agit à la fois de répondre aux besoins formulés par les entreprises du secteur de l'économie numérique et de protéger les données personnelles.

Les citoyens de l'Union européenne se voient reconnaître un certain nombre de droits. Le plus important est sans doute le principe du consentement à la collecte et à la conservation des données, droit qui constitue l'une des spécificités du droit européen. Les entreprises américaines du secteur ne pourront donc plus mettre en oeuvre une présomption de consentement, laissant ensuite la malheureuse victime européenne contester la collecte de ses données personnelles devant un tribunal situé à Palo Alto. D'une manière générale, ces entreprises devront d'ailleurs fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles.

Le droit à la portabilité des données personnelles est également garanti, permettant à la personne de transférer ses données d'un prestataire de services à un autre. Si la consécration d'un tel droit n'est pas sans intérêt, on peut néanmoins s'interroger sur les instruments à la disposition de l'intéressé lui permettant de s'assurer que l'entreprise qu'il souhaite quitter ne conserver pas ses données, à des fins commerciales par exemple.

Le droit à l'oubli vient enfin compléter le droit au déréférencement déjà garanti par la Cour de justice de l'Union européenne depuis sa décision du 13 mai 2014 Google Spain NL. De manière très simple, le règlement prévoit la suppression des données à la demande de l'individu, dès lors qu'il ne souhaite plus leur conservation et qu'aucun motif légitime ne la justifie.

Ces éléments sont loin d'être négligeables, même si l'on observe que le texte européen n'est pas tout-à-fait aussi ambitieux que l'on aurait pu le souhaiter.

Tout d'abord, certains points n'ont pas fait l'objet d'un accord. C'est le cas notamment de la question de l'accord parental nécessaire pour s'inscrire sur un réseau social. Certains Etats souhaitaient le maintien du statu quo à l'âge de treize ans, d'autres se montraient plus rigoureux et désiraient interdire les réseaux sociaux aux moins de seize ans. Finalement, la question a été écartée du "paquet". Sans doute a-t-on quelque peu baissé les bras devant les difficultés de l'entreprise. Si l'on observe ainsi que Facebook interdit effectivement l'inscription aux enfants de moins de treize ans,  force est de constater que le réseau social n'est guère en mesure de vérifier l'âge réel de ses adhérents. Il n'est pas exclu, en même temps, que le réseau social ait effectué un lobbying efficace durant la négociation du règlement européen.

Vie privée. René Magritte. 1946

Les concessions aux entreprises

Ensuite, ces éléments de protection des droits de l'individu ont été acquis au prix de concessions aux opérateurs du secteur. Ils ont remporté une véritable victoire en faisant intégrer dans le règlement le principe selon lequel la protection des données peut être intégrée aux produits et services dès la phase initiale du système. Ce principe de "Privacy In Design" leur permet ainsi de formuler ensuite une simple déclaration de la conformité de leur système à la législation en vigueur, ce qui évite le contrôle a priori des autorités chargées de la protection des données. Cette analyse repose, à l'évidence, sur une vision très optimiste de la volonté des entreprises de se soumettre au droit de l'Union européenne.

Cette impression est renforcée par les avantages offerts aux petites et moyennes entreprises (PME) qui sont dispensées d'un grand nombre de procédures : absence de notification des traitements de données personnelles aux autorités de contrôle, absence de désignation en leur sein d'un délégué à la protection des données dès lors que le traitement n'est pas leur coeur de métier, dispense de l'obligation d'étude d'impact de leurs fichiers. Les PME se voient même offrir la possibilité de faire payer les demandes d'accès aux données personnelles lorsqu'elles les jugent infondées ou excessives. La liste de ces avantages conduirait sans doute un avocat peu soucieux de ces préoccupations à conseiller à une multinationale américaine de créer des PME pour exercer son activité au sein de l'Union européenne, dans le seul but d'échapper aux règles les plus contraignantes du droit européen de la protection des données.

La coopération policière

La directive vise, quant à elle, à concilier protection des données personnelles et échange entre les autorités répressives au sein de l'Union. Il est évident que les évènements survenus à Paris le 13 novembre 2013 ont mis en lumière la nécessité de l'échange d'informations dans le cadre de la lutte contre le terrorisme. Ils ne sont donc pas étrangers à l'accord intervenu dans ce domaine.

Le texte vise d'abord à simplifier le droit applicable par les autorités policières et judiciaires. C'est ainsi que le texte s'applique de manière indifférenciée aux flux transfrontières de données privées et aux informations transmises par des services policiers ou judiciaires étrangers. D'une manière générale, elle établit un secret des sources renforcé pour les autorités policières. C'est ainsi qu'elle peuvent refuser de confirmer ou d'infirmer qu'elles disposent de données personnelles, dans le but de ne pas compromettre les investigations en cours.

L'objet de la directive est, avant tout, de permettre aux forces de l'ordre des Etats membres d'échanger plus facilement les informations utiles aux enquêtes, et donc de faciliter la lutte contre le terrorisme et la grande criminalité.

Dans ce cas, la directive se borne à rappeler les garanties élémentaires qui s'appliquent en matière de collecte et de conservations de données personnelles à des fins de sécurité publique. Au sein de l'Union, tout traitement de ce type de données devra ainsi respecter les principes de nécessité, de proportionnalité et de légalité, principes anciens qui figuraient déjà dans la loi française du 6 janvier 1978. Il en est de même du contrôle qui doit être assuré par des autorités nationales indépendantes, contrôle qui doit s'accompagner d'un droit à un recours juridictionnel. 

Si les échanges de données par les services de police et de justice sont ainsi facilités, les garanties offertes aux personnes fichées ne sont donc en rien modifiées.

Le standard européen des protection des données est, incontestablement, en cours de construction. Il est loin d'être parfait, mais on observe qu'il n'interdit pas aux Etats membres de mettre en oeuvre des règles plus exigeantes. Dans tous les cas, l'important est que ces textes établissent un droit effectif, c'est-à-dire un droit assorti de sanctions. En cas de non-respect des obligations imposées par le règlement, les autorités nationales pourront ainsi infliger aux sociétés concernées une amende allant jusqu'à 4 % de leur chiffre d'affaires. Le pourcentage peut sembler modeste, mais il peut conduire à une amende considérable pour les multinationales du secteur. Ces deux textes, qui devraient entrer en vigueur dans un délai de deux ans, devraient ainsi offrir aux autorités de protection des Etats membres un instrument fort utile pour faire comprendre aux entreprises du secteur que l'Europe n'est pas seulement un territoire colonisé par le droit américain mais un espace juridique autonome. 

Sur la protection des données : Chapitre 8 § 4 du manuel de libertés publiques sur internet