Bruxelles, 04/03/2014 (Agence Europe) - Les ministres européens de la Justice ont eu, mardi 4 mars à Bruxelles, un échange de vues relativement consensuel sur le dossier de la protection des données, et notamment sur la question du champ d'application territorial du règlement, sur la portabilité des données, les obligations des contrôleurs ou sur la question des transferts internationaux.
« Nous avons bien progressé », a même affirmé la commissaire européenne à la Justice, Viviane Reding, saluant au passage le « printemps grec », après l'« hibernation » lituanienne.
En dépit des critiques émises par quelques récalcitrants comme le Royaume-Uni, les Pays-Bas et la Hongrie, les débats qui ont eu lieu mardi permettent d'être optimistes sur les chances pour le Conseil de parvenir en juin à un accord sur une approche partielle (quelques chapitres). Ensuite, des trilogues pourraient se tenir entre les trois institutions (Conseil, Parlement, Commission), ont relevé certaines sources. Le Parlement européen adoptera le 12 mars sa position en session plénière.
La présidence grecque, dont le travail a été largement salué mardi par les délégations, a choisi, pour avancer, de laisser de côté les sujets qui fâchent, notamment le 'guichet unique' qui avait conduit à une passe d'armes entre le Conseil et la Commission en décembre dernier. La présidence a aussi déblayé le terrain sur le reste des chapitres du règlement. Mardi, elle a demandé notamment aux ministres de confirmer leurs discussions informelles tenues à Athènes.
La présidence a ainsi obtenu un large soutien des pays membres sur le fait que toutes les entreprises, même basées dans les pays tiers, devront respecter les règles européennes quand elles fourniront des services aux Européens. Mais elle s'est attirée sur ce point les critiques de Londres et de La Haye, qui ne voient pas comment l'UE pourrait obliger des entreprises de pays tiers à respecter des règles européennes. « Il faut être réaliste, l'UE n'est pas en mesure d'imposer ses règles », a dit le représentant néerlandais. Pour appliquer des règles « ailleurs, il faudrait déjà les cadrer pour l'UE », a ironisé le Britannique Chris Grayling, pour qui il va encore falloir « remettre cette affaire sur le métier. Nous sommes loin d'avoir finalisé le travail ».
Pour une source proche du dossier, il est tout à fait possible d'appliquer ces règles notamment via les « décisions d'adéquation » de la Commission, décisions en vertu desquelles des transferts internationaux de données sont autorisés si le pays en question affiche un niveau équivalent de protection des données ou encore via des 'binding corporate' (clause entre des entreprises) ou des dérogations bien justifiées. Un autre observateur juge l'exercice plus délicat et estime qu'il s'agit surtout d'inciter les entreprises des pays tiers à être aussi vertueuses que celles européennes et de miser sur leur bonne volonté. Mais, « sans avoir forcément la capacité réelle de faire appliquer les règles européennes ».
D'autres critiques du Royaume-Uni ont porté sur l'intégration de la « pseudonymisation » dans le règlement et sa partie sur les approches basées sur le risque. Cette technique consiste à exclure un maximum d'identifiants renvoyant personnellement à un individu, mais à se servir de ses données par exemple pour la recherche sur des maladies, a expliqué une source. « Mais c'est une technique et pas un concept », a encore fait valoir le secrétaire d'État britannique, qui juge inutile d'intégrer cette disposition dans le règlement.
La présidence grecque a, dans l'ensemble, été soutenue par les États membres sur ce point, tout comme sur la question du profilage automatique des citoyens, qui ne devrait être autorisé sans intervention humaine que dans des cas très spécifiques. La présidence a proposé d'en rester à la directive actuelle de 1995 qui comprend déjà une disposition relative au droit pour toute personne physique de ne pas être soumise à une décision prise sur le seul fondement d'un traitement automatisé et produisant des effets juridiques à son égard ou l'affectant de manière significative. Par exemple, une compagnie d'assurances serait dans l'interdiction de faire payer des primes de risque à des gens dont elle aurait recueilli les données par voie automatisée (en collectant ci et là des renseignements) et sans contact avec la personne concernée.
Beaucoup de délégations ont renvoyé les discussions aux groupes de travail et demandé que ces propositions soient affinées. « Évidemment, on ne peut pas dire que nous ayons un accord général aujourd'hui », a dit la représentante allemande, notant encore des difficultés avec les garanties prévues dans le cas des transferts de données vers les pays tiers. « Les exigences ne sont pas encore vraiment idéales », a ajouté l'Allemagne.
Il s'agit « bien sûr des principes de Safe Harbour », a précisé un peu plus tôt la ministre française Christiane Taubira, qui a rappelé l'importance qu'ils soient revus et renforcés, comme s'y est engagée Viviane Reding, en exigeant des autorités américaines des améliorations d'ici l'été. (SP)