Bruxelles, 22/10/2013 (Agence Europe) - Ils avaient redouté un vote marathon ; ils auront finalement bouclé leur affaire en quarante minutes. Lundi soir, les députés de la commission des libertés civiles du Parlement européen ont largement soutenu le renforcement des règles européennes de protection des données personnelles et donné aux deux rapporteurs, Jan Philipp Albrecht (Verts/ALE, allemand), responsable du règlement général, et Dimitrios Droutsas (S&D, grec), responsable de la directive 'cadre pénal', un mandat sans ambiguïté pour négocier avec le Conseil (51 voix pour, 1 voix contre et 3 abstentions pour le règlement; 47 voix pour, 4 voix contre et 1 abstention pour la directive). En pleine tempête 'Prism' et autres scandales liés aux écoutes opérées par l'agence américaine NSA, les députés ont affiché un front uni pour inviter le Conseil, et pourquoi pas les chefs d'État et de gouvernement dès ce jeudi, à boucler lui aussi son travail avant la fin de la législature. Pour la commissaire Viviane Reding, ce vote n'est rien moins qu'une « déclaration d'indépendance » faite vis-à-vis des États-Unis, a-t-elle affirmé, en appelant les Vingt-huit à envoyer à leur tour « un signal fort ». Pour Jan-Philipp Albrecht, « la chancelière allemande, Angela Merkel, aura (vendredi) la responsabilité de mettre en pratique ce qu'elle a exprimé à ce sujet durant sa campagne électorale et faire de l'adoption du règlement général sur la protection des données l'objectif fondamental des États membres de l'UE », a-t-il indiqué dans un communiqué.
Les nouvelles règles voulues par la commission doivent renforcer le contrôle des Européens sur leurs données, via par exemple un droit d'effacement (le principe du « droit à l'oubli » jugé trop rigide et complexe a été remisé), de meilleures informations sur la façon dont leurs données sont traitées ainsi que des droits de recours. Mais le sujet le plus sensible actuellement tient aux possibilités de transfert de données d'Européens vers les pays tiers, les États-Unis, par exemple: ces transferts ne pourront avoir lieu qu'en vertu d'une base légale solide, un accord international par exemple ou un traité d'assistance mutuelle. Ce volet de la réforme devrait ainsi empêcher des moteurs de recherche comme Google, un réseau social comme Facebook ou un fournisseur de services d'informatique en nuage de pouvoir transférer des informations personnelles d'Européens.
En ce qui concerne les sanctions, les députés sont allés beaucoup plus loin que la Commission en janvier 2012 qui se limitait à une sanction maximum de 2% du chiffre d'affaires annuel mondial. Pour les eurodéputés, c'est désormais 5%.
Pour la nomination d'un responsable protection des données au sein des entreprises, ce poste sera obligatoire à partir du moment où seront traitées les données de plus de 5 000 clients/usagers. Mais la nature et le risque potentiel de l'activité seront pris en compte.
Sur le consentement explicite, une organisation ou une entreprise pourrait traiter des informations personnelles uniquement après avoir obtenu l'autorisation explicite de la personne concernée, qui pourrait revenir sur ce consentement à tout moment. Le consentement correspondrait à « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque » le traitement de ses données personnelles. Revenir sur son consentement doit être aussi facile que de le donner.
Pour le profilage (utilisé pour analyser les performances professionnelles d'une personne, sa situation économique, sa localisation, sa santé, etc.), les députés ont fixé des limites: il serait seulement autorisé si la personne concernée donne son consentement, si la loi le prévoit ou s'il est nécessaire pour l'exécution d'un contrat. « De plus, une telle pratique ne devrait pas entraîner de discrimination ou être basée uniquement sur un traitement automatique des données ».
Le rapport porte encore sur le rôle des autorités nationales de protection des données (DPA) et le mécanisme de cohérence, le rapporteur allemand ayant souhaité, comme le Conseil, que la décision finale en cas de différend entre les différentes DPA revienne au Comité européen de la protection des données ou 'European board' et non à la Commission, comme celle-ci l'avait suggéré.
Les principaux groupes politiques du PE se sont en tout cas félicités de ce vote dont ils se sont en partie attribué le mérite. Pour le député Axel Voss (PPE, allemand), ce rapport Albrecht porte clairement la marque de son parti, avait-il déjà dit jeudi. C'est aussi une victoire du S&D dont les « grands principes ont été adoptés » par la commission, a dit le groupe dans un communiqué. Petit bémol dans ce concert de louanges: pour Sophie in't Veld (ADLE, néerlandaise), ces règles ne comblent pas encore tous les « trous » de la législation européenne mis en lumière par le scandale Snowden. Et la véritable amélioration pour les Européens se jaugera à l'aune de l'application stricte des règles, tant par les États membres que par la Commission européenne, a-t-elle mis en garde dans un communiqué. Commission qui aurait déjà pu protéger efficacement les Européens avec les instruments actuels si elle l'avait souhaité, a jugé Mme in't Veld. (SP)