Bruxelles, 13/03/2015 (Agence Europe) - « C'est un grand jour pour le règlement sur la protection des données personnelles ». C'est avec un enthousiasme visiblement sincère que la commissaire européenen responsable de la Justice, Vera Jourova, a accueilli l'approche générale partielle obtenue vendredi 13 mars par les ministres de la Justice de l'UE sur le mécanisme dit de 'guichet' unique et sur les grands principes du règlement ( chapitre 2).
Avec cet accord, encore partiel, les ministres se rapprochent de manière de plus en plus certaine d'un accord général, qui devrait avoir lieu en juin prochain, sur l'ensemble de la réforme (le règlement général et la directive 'policière'). En cas d'un tel accord, les trilogues avec le Parlement européen pourraient débuter. S'il reste encore de nombreux points à préciser et à « débroussailler », comme l'a elle-même dit la commissaire, « on pense pouvoir avancer sur la réforme », a souligné le ministre letton, Dzintars Rasnacs, dont le pays assure la présidence du Conseil. Selon une source européenne, l'ambiance était en effet à l'optimisme dans la salle vendredi. Mais au-delà de cette envie d'avancer, les discussions de la matinée ont toutefois montré que les compromis sur la table ne répondent pas à toutes les exigences des États membres. De nombreuses délégations misent même sur les trilogues pour revoir en certains endroits un niveau de protection des usagers qu'ils jugent en deçà des règles actuelles de la directive de 1995, par exemple pour la France en ce qui concerne les données pseudonymisées ou, pour l'Autriche, les multiples objectifs et les 'intérêts légitimes' des entreprises permettant le traitement de données personnelles. Le ministre allemand, Thomas de Maizière, a suggéré vendredi matin, et a été soutenu dans cette initiative, que les ministres passent en juin prochain à Luxembourg une journée entière sur toutes les questions laissées pendantes, si nécessaire pour boucler un accord général.
Concrètement, l'approche partielle dégagée par les ministres porte sur le guichet unique ou 'one-stop-show' , le dispositif qui organise le traitement des contentieux et crée un interlocuteur unique pour les entreprises ainsi que sur les grands principes de traitement des données personnelles, entre les bases juridiques donnant possibilité à une entreprise d'utiliser des données, mode de consentement des usagers ou encore transfert et utilisation de données à des fins de recherche scientifique. Sur le 'one-stop-shop', les entreprises n'auront qu'une seule autorité de régulation nationale compétente même quand elles opèrent dans plusieurs pays et cette autorité sera celle où la compagnie a son siège social. Si ce principe semble simple, les choses se compliquent légèrement dans les cas de litiges et de contentieux quant à l'utilisation de données personnelles. Ainsi, selon le schéma retenu, un utilisateur Français confronté au refus de Facebook de retirer une image de lui circulant sur le réseau aurait à solliciter son autorité nationale, la CNIL en l'occurrence. C'est la CNIL qui devrait en principe se prononcer sur la décision et éventuellement sur la sanction à appliquer à Facebook. Mais en cas de désaccord sur la décision rendue par la CNIL d'un autre régulateur national concerné lui aussi par ce cas, il sera possible de demander le recours à un 'board', un comité européen de protection des données rassemblant Commission et États membres, à la condition que le cas porte sur des enjeux importants (cette définition de cas 'important' pourrait ne reposer que sur une discussion, un accord tacite, pas forcément sur des critères précis). Quant à l'internaute en question, s'il devait être en désaccord avec la décision rendue par la CNIL, il pourrait, lui aussi, contester ce verdict devant une juridiction française. Quant à une décision rendue par le 'board', elle pourra elle aussi être contestée devant la Cour de justice de l'UE par un régulateur national.
Guichet unique trop complexe ?
Cette solution, si elle permet de maintenir un degré de proximité pour les citoyens, est très mal perçue par des pays, comme l'Irlande ou le Royaume-Uni, qui l'ont fait savoir haut et fort vendredi. Pour l'Irlande, à défaut d'un seuil quantitatif pour recourir au 'board', l'idée de ne le saisir seulement pour des cas importants est une nouvelle positive car il convient d'éviter les cas fantaisistes et « ne pas déborder » le board de dossiers superflus, a dit la délégation irlandaise. Cette délégation a compté que le processus de décision en cas de contentieux pourrait « aller jusqu'à quatre mois » entre la prise d'une décision par une autorité nationale, la notification aux régulateurs concernés et l'éventuelle contestation de cette décision. « Sans compter, par la suite, un éventuel recours au board ou à la Cour de justice », a ajouté le ministre Dara Murphy. Le Royaume-Uni est aussi sur cette ligne. « Nous sommes déçus qu'il n'y ait pas de seuil quantitatif pour déclencher le recours au board », a expliqué le ministre Edward Faulks, craignant qu'on ne se retrouve à la clef « avec un ralentissement du processus décisionnel ». « C'est lourd, c'est bureaucratique et ça ne facilitera pas le travail », a ajouté le Britannique, dont le pays ne s'est toutefois pas opposé à l'approche générale. Sur ce point, plusieurs délégations, dont l'Irlande mais aussi l'Allemagne, ont demandé une clause de révision afin d'évaluer le fonctionnement de ce guichet unique et ses premiers pas. La commissaire a précisé que le règlement contenait déjà une clause de révision sur le guichet unique, d'ici à 4 ans, qui pourrait être rattachée à la demande de ces ministres.
Utilisation commerciale encore floue
Mais d'autres points suscitent des interrogations, voire des inquiétudes et ils concernent ici le chapitre 2 du règlement qui a fait également l'objet d'un accord partiel. L'Autriche, soutenue par l'Italie notamment, veut davantage de précisions et de garanties sur les 'intérêts légitimes' des entreprises pour pouvoir traiter des données ( 6 à 7 motifs juridiques sont prévus dans le règlement). « Que faut-il pour être en droit de traiter des données ? Il faut un intérêt motivé, substantiel et cette condition n'est pas suffisamment exprimée dans le texte », a dit l'Autrichien Wolfgang Brandstetter. Une autre inquiétude réside dans les 'traitement ultérieurs de données' entre différentes compagnies. Un contrôleur des données chez Amazon aurait-il, par exemple, le droit de donner les données privées d'un client à une entreprise similaire sans consentement supplémentaire de ce client ? Cette question n'a pas été résolue vendredi et inquiète particulièrement Vienne, mais aussi le Luxembourg, qui pense que cela pourrait s'assimiler à un « affaiblissement des droits des usagers ». La France, quant à elle, estime que les dispositions sur les données utilisées pour des objectifs en matière de recherche médicale ou statistiques sont, en l'état, insuffisantes et sont en-deçà des règles prévues par la directive de 1995, a fait valoir Christiane Taubira. (Solenn Paulic)