Digital Society Forum Digital Society Forum
Dossier 20/04/2015

Le chantier européen des données personnelles

Ouvert en 2012 par Viviane Reding, ancienne vice-présidente de la Commission européenne en charge de la justice, le projet de règlement général des données personnelles en Europe est toujours sur la table des négociations.

L'utilité d'un projet commun en Europe sur le sujet de la protection des données n'est plus à démontrer. La montée en puissance des GAFA (Google, Apple, Facebook, Amazon : les quatre grandes firmes américaines qui dominent le marché du numérique), le scandale des écoutes américaines révélé par Edward Snowden, nombre d'actualités récentes ne cesse de démontrer l'importance des données personnelles dans l'Internet actuel. Or, en l'absence d'un accord pour un nouveau projet de réglementation, le cadre juridique européen continue de reposer sur une directive adoptée en 1995.

Celle-ci instaure à la fois la protection des libertés fondamentales et la libre circulation des données. Elle définit les données personnelles et pose les principes de qualité et de légitimité de leur traitement, les catégories récoltées autorisées (les informations révélant l'origine raciale ou ethnique ou les convictions religieuses sont par exemple interdites) et l'obligation de notifier ces opérations aux autorités de contrôle (la Commission nationale de l'informatique et des libertés (Cnil) en France). Ce texte a aussi favorisé le regroupement de ces instances nationales dans un organisme de coordination, le G29, qui contribue à l’élaboration des normes par des recommandations. Concernant les citoyens, le texte prévoit un droit d'accès, le consentement de délivrance ou encore le droit d'opposition, la confidentialité et la sécurité des traitements.

Remettre la législation européenne à la page


Ce cadre demandait à être réactualisé au vu des nouvelles données collectées mais aussi des nouveaux moyens de traitement, de collecte et d'usage. Ainsi, la directive de 1995 comprend les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable », ce qui exclut les entreprises. Elle vise les données qui permettent « directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale », d'identifier une personne. Un nom, une photo sont pris en compte mais qu'en est-il pour les messages sur les réseaux sociaux ou les métadonnées ?

Il n'y a pas que sur la question de la définition des données que la directive est dépassée. Pour l'appliquer au contexte actuel, il est nécessaire d'en interpréter les termes de façon extensive. L'affaire espagnole qui a conduit la Cour de justice de l’Union européenne à se prononcer sur la question du retrait de certaines données personnelles publiées, interrogeait justement sur la compréhension de la directive. Celle-ci prévoit un droit d'accès pour les personnes physiques qui comprend, entre autre, le droit d'obtenir du responsable du traitement la rectification, le verrouillage ou l'effacement de données. Il s'agissait donc de savoir si l'activité de Google est une façon de traiter les données personnelles, pour lui attribuer ou non la responsabilité de la rectification. En s'appuyant sur les bases posées par la directive, la CJUE a considéré que oui, au motif que même si l'information n'émane pas du moteur, sa visibilité lui est imputable. Un événement judiciaire qui soulignait l'urgence d'une réactualisation de la législation.

De fait, le Parlement européen a adopté en mars 2014 un règlement général sur la protection des données (T7-0212/2014). Validé en première lecture, le texte voté a été l'objet de multiples versions depuis la proposition faite par Viviane Reding. Selon certains observateurs comme l'association La Quadrature du Net, ce dossier a été l'objet de la plus importante opération de lobbying jamais vue dans le cadre de l’adoption d’un texte européen. Les parlementaires ont toutefois conservé la plupart des propositions faites par la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE).

De nouveaux paramètres…


La définition des données personnelles y est ainsi réactualisée. Est prise en compte « toute information relative à une personne physique, se rapportant à sa vie privée, professionnelle ou publique. Il s’agit du nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages sur les réseaux sociaux, d’une information médicale ou de l’adresse IP d'un ordinateur. »

D'autres dispositions de la directive font l'objet d'une mise à jour. Les déclarations habituellement faites aux autorités de contrôle sont remplacées par une obligation de documentation et de suivi. Ce qui signifie que les entreprises doivent à la fois conserver une trace documentée de tous les traitements effectués et réaliser une étude d'impact pour chaque traitement « à risque » concernant des données sensibles, dont l'obtention est déjà soumise à l'autorisation des Cnil. Des documents auxquels les autorités de contrôle doivent pouvoir accéder à tout moment, sous peine de sanctions. Le rôle du Délégué à la protection des données personnelles est d'ailleurs élargi et sa responsabilité juridique accrue. Sauf exception, sa nomination devient obligatoire pour toute structure (publique ou privée), dont les activités de base impliquent des opérations de traitement sur des données personnelles. Un volet sécuritaire impose enfin aux sociétés d'évaluer systématiquement les risques de sécurité et d'assurer l'intégrité des données au cours du traitement ; c'est-à-dire prévenir les risques de déformation, d'endommagement ou de diffusion à des tiers non autorisés.

Le consentement explicite des citoyens pour toute collecte, traitement ou échange d'informations les concernant est conservé, mais le texte voté par le Parlement instaure également de nouvelles mesures. Notamment, l'application de sanctions effectives pouvant aller jusqu'à 2% du chiffre d'affaires annuel mondial mais aussi le choix d'un champ territorial élargi impliquant que toute entreprise traitant les données de citoyens européens applique le droit européen. Ce nouveau cadre juridique veut enfin instaurer un « guichet unique » assurant l'application et le respect des règles dans chaque pays. Il veillera également à faire appliquer, entre autres, le nouveau droit à l'effacement (appelé aussi droit à l'oubli) établi à l'article 10.

…et de nouveaux écueils


Le Parlement a cependant supprimé le droit à la portabilité des données au profit d'une simple incitation. La portabilité devait être le droit pour l'utilisateur d'obtenir ses données dans un format couramment utilisé et qui permette leur réutilisation. La Quadrature du Net regrette ce changement ainsi que la présence de certaines notions comme « l'intérêt légitime » de l'utilisateur. En effet, selon l’association, cette mesure permet aux responsables des traitements de contourner le consentement explicite des individus.

De même, la Quadrature s'alarme que seule l'anonymisation protège les données personnelles liées à la santé tandis que la Cnil déplore que la définition des données, certes plus complète, laisse de côté les données pseudonymisées. Pour la Commission, ces informations ne doivent pas faire l'objet d'un régime dérogatoire car cela « conduirait à soustraire une part croissante des données personnelles à la protection qu’elles méritent ». La Cnil rappelle que le développement des capacités de croisement des données rend la protection des personnes toute relative et que les données pseudonymisées constituent de plus en plus une façon alternative d’identifier les individus. Les données de géolocalisation sont par exemple considérées comme des données pseudonymisées mais quelques recoupements simples entre les lieux de travail et d'habitation peuvent suffire à identifier quelqu'un.

Harmoniser la protection des données


Ce projet de règlement n'est cependant pas applicable dans l'immédiat. Il attend, depuis le vote du Parlement, d'être validé par le Conseil européen (constitué des chefs d'Etat et des gouvernements). L'étape est d'autant plus délicate qu'il s'agit d'un règlement et non plus seulement d'une directive. Cette dernière ne fixe qu'un objectif à atteindre, laissant les membres de l'Union libres de décider des moyens.

Actuellement, chaque État dispose de ses propres règles, entrainant les entreprises dans un véritable casse-tête législatif. En revanche, un règlement européen crée une législation unique, valable uniformément et intégralement dans tous les États membres.

Là est donc tout l'intérêt et toute la difficulté. Il s'agit maintenant de trouver un point d'équilibre entre la protection des données personnelles et la compétitivité des entreprises européennes dont le modèle économique repose sur l'exploitation de ces données. Le Royaume-Uni, l'Irlande et les Pays-Bas, qui hébergent plusieurs sièges sociaux de multinationales américaines, tendent à défendre une ligne plus libérale, contrairement à l'Allemagne ou la France qui favorisent d'avantage la protection des citoyens. Mais selon Isabelle Falque-Pierrotin, présidente de la Cnil, le Conseil s'est engagé à rendre ses décisions à l'été 2015.


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

Les sources de cet article


S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF