Bruxelles, 06/03/2015 (Agence Europe) - Plusieurs associations de protection des internautes, dont l'Association européenne des droits numériques, European digital rights (EDRI), ont mis en garde mardi 3 mars les États membres contre la tentation de diminuer le niveau de protection des données personnelles des citoyens.
Alors que les ministres de la Justice de l'UE doivent en principe s'accorder, le 13 mars prochain à Bruxelles, à la fois sur le chapitre 2 du règlement général de la réforme qui porte sur les grands principes comme le consentement des internautes et les obligations des contrôleurs de la protection des données ainsi que sur le mécanisme dit du 'guichet unique' ( one-stop-shop), l'association EDRI a notamment critiqué le fait que les États membres réinterprètent, à la baisse, chaque élément du règlement et fassent des nouvelles règles présentées par Viviane Reding en janvier 2012 une « coquille vide ». Concernant les dispositions sur le consentement des usagers, la proposition de janvier 2012 dit que le consentement doit être « explicite ». Dans les derniers textes, notamment un compromis du 4 mars soumis le lendemain au Coreper (comité des représentants permanents des États membres auprès de l'UE), les États membres optaient pour un consentement « non ambigu ». Les associations s'inquiètent aussi du fait que le consentement donné par un utilisateur puisse servir à d'autres objectifs que celui pour lequel il a été initialement accordé. Elles critiquent aussi une clause d' « intérêts légitimes », en vertu de laquelle un contrôleur des données peut transmettre des éléments personnels à d'autres entreprises d'un même groupe.
Mais « dire que les États membres diminuent drastiquement le degré de protection n'est pas juste », réagit une source européenne, qui estime que les usagers recevront les informations nécessaires. Dans le texte du 4 mars, ce consentement « doit être donné sans ambiguïté par toute méthode appropriée » permettant d'exprimer les souhaits libres, informés et spécifiques de la personne concernée, soit par écrit, par déclaration orale ou déclaration électronique ou si nécessaire dans des circonstances spécifiques, par toute autre action positive signifiant clairement que la personne concernée a donné son accord à l'utilisation de ses données personnelles . Ces méthodes pourraient notamment inclure de cocher une case sur les sites visités sur Internet, poursuit le texte de compromis, qui a reçu un accueil plutôt positif jeudi 5 mars. Le silence ou l'inaction devraient en tout cas signifier absence de consentement, indique le texte. La France, la Pologne et la Commission auraient émis des réserves sur ce passage de « explicite » à « non ambigu » et attendraient des définitions supplémentaires de la notion de consentement, note le document.
En ce qui concerne le consentement pour des objectifs multiples, cette source indique que le consentement doit être donné dès que changent les objectifs du traitement des données personnelles, mais, en effet, il ne doit pas nécessairement être donné pour une activité similaire de traitement des données. En revanche, un consentement peut être donné une fois pour toutes, pour faciliter les recherche scientifiques. Mais là encore, des dispositions existent nécessitant pour certains projets de recherches le consentement de la personne. Les États membres insistent toutefois sur la nécessité de ne pas alourdir les charges bureaucratiques pour les contrôleurs.
En ce qui concerne la clause d'intérêts légitimes, il semble qu'il ne faille pas le consentement, soit du client ou des employés, pour qu'un contrôleur d'une entreprise transmette des éléments personnels à une autre entreprise du même groupe. Mais le compromis tente de préciser ces circonstances légitimes, par exemple pour prévenir des cas de fraude. Certaines délégations se sont dites inquiètes quant à cette notion d'intérêts légitimes, à l'image de l'Autriche qui la trouve insuffisante pour rendre légal le traitement des données personnelles par le contrôleur, a fait savoir Vienne dans une note spécifique. (Pour le transfert de données à une entreprise d'un pays tiers, les dispositions sont elles régies par un autre chapitre du règlement).
Des travaux relativement 'équilibrés' pour d'autres
De manière générale, les objectifs du traitement des données personnelles devront être énoncés de manière claire, transparente et explicite par ceux qui utilisent et demandent ces données, suggère encore le texte. Selon cette source proche du dossier, des dispositions particulières protègent aussi les données dites sensibles comme celles permettant de connaître la couleur de peau ou l'origine ethnique. Ces données sensibles ne devraient ainsi pas être utilisées, en règle générale, sauf dans des cas très spécifiques permettant par exemple la constitution de 'statistiques ethniques' (la France voudrait d'ailleurs des règles supplémentaires pour les motifs de traitement statistiques dans le chapitre 3). Dans ce dernier cas de figure, les personnes concernées devraient pouvoir donner un consentement « explicite », indique le document. Une dérogation est aussi possible pour utiliser ces données sensibles, données de santé par exemple, quand existe un risque d'ordre public et de sécurité (maladies contagieuses par exemple). Pour cette source du Conseil, si les travaux du Conseil ne consacrent certes pas « la protection des données personnelles comme un droit absolu, ils présentent tout de même un aspect équilibré », ménageant le droit des individus et les impératifs des entreprises et administrations. Le Royaume-Uni a émis au fil des discussions plusieurs remarques sur la surcharge administrative que pourraient introduire certaines obligations, peut-on lire dans les documents.
One-stop-shop, compromis en vue
Enfin, sur le mécanisme dit du 'one-stop-shop', c'est une approche peut-être plus 'protectrice des citoyens' qui aurait prévalu jeudi 5 mars au Coreper. Les États membres n'ont en effet pas retenu l'idée de déclencher le recours au futur Comité européen de protection des données, le 'Board', en cas de litige sur une décision prise par une autorité nationale, sur la base d'un seuil quantitatif. Contrairement à ce que souhaitait notamment l'Irlande, qui va être responsable en premier lieu des cas entourant Facebook ou Google, il devrait suffire qu'un seul régulateur national ne soit pas d'accord pour que le recours au Board soit possible. Pour l'Irlande, cela signifierait une perte de pouvoir pour son régulateur. Mais pour les autres, ce serait la garantie que leur régulateur national garde son mot à dire. (Solenn Paulic)