Bruxelles, 16/12/2015 (Agence Europe) - Les négociateurs du PE et du Conseil de l'UE sont parvenus, mardi 15 décembre en soirée, à s'accorder sur le paquet « protection des données » et, plus précisément, sur le projet de règlement général sur la protection des données personnelles ainsi que sur la directive relative au traitement des données personnelles dans le cadre policier et pénal. Un vote de confirmation doit intervenir ce jeudi en commission des libertés civiles du PE.
Ces deux textes avaient été présentés en janvier 2012 par l'ancienne commissaire en chargée de la Justice et des Droits fondamentaux, Viviane Reding (EUROPE 10538), et remplacent l'actuelle directive de 1995 pour le règlement et une décision-cadre de 2008 en ce qui concerne la directive. L'ancienne commissaire avait notamment proposé des mesures phares comme le 'droit à l'oubli' numérique, repris à ce jour dans le règlement sous une autre dénomination, ainsi que des sanctions financières contre les entreprises qui ne se plieraient pas aux exigences européennes.
Plus de trois ans et demi plus tard, les propositions soutenues par les négociateurs mardi soir ont fait l'objet de plusieurs compromis, mais de l'avis du rapporteur allemand sur le règlement général, Jan Philipp Albrecht (Verts/ALE), le compromis constitue néanmoins une « avancée ». « L'avancée de ce soir ouvre la voie à la conclusion de cette réforme tant attendue des règles de protection des données de l'UE. La législation permettra enfin de créer un régime de protection des données à l'échelle européenne, remplaçant ainsi le patchwork dépassé des règles nationales de protection des données. Il s'agit donc d'améliorer substantiellement la protection des consommateurs et la concurrence, mais également de s'assurer que les règles de protection des données de l'UE soient bien adaptées à l'ère numérique », a réagi le député allemand.
Pour la GUE/NGL aussi, il s'agit d'un « progrès important », a réagi l'Allemande Cornelia Ernst, notamment grâce à l'introduction des concepts de « privacy by design », « par défaut » ou bien grâce à l'interdiction de transférer des données personnelles vers les services de pays tiers quand il n'y a pas de cadre international ou de traité avec ces pays. L'Allemande s'est aussi félicitée que les pénalités contre les entreprises puissent aller « jusqu'à 4% du chiffre d'affaires mondial annuel ».
Max Schrems, l'étudiant autrichien à l'origine de multiples actions contre Facebook et à l'origine de l'arrêt « Safe Harbour » rendu par la Cour de justice de l'UE le 6 octobre, s'est en revanche montré réservé, estimant, sur son compte Twitter, que le niveau de protection offert aux Européens reste « équivalent » à celui de l'ancienne directive, voire « plus bas ».
Concrètement, les nouvelles règles adoptées dans le cadre du règlement général visent à donner plus de pouvoirs aux consommateurs sur le traitement de leurs données en prévoyant notamment qu'ils puissent donner un consentement clair à l'utilisation de leurs données personnelles. Ce consentement devra être « non ambigu » dans la plupart des cas et se traduire par une action concrète « clairement affirmative » de l'utilisateur (comme, par exemple, cocher une case). Il devra être « explicite », c'est-à-dire encore plus clair, pour les données dites sensibles (origine ethnique, par exemple), stipule le compromis.
Les utilisateurs auront un droit d'effacement ou de rectification de leurs données et un « droit à l'oubli », qui ne sera toutefois pas inconditionnel, ce droit à l'oubli ayant été jugé difficile à mettre en oeuvre au cours des négociations en raison des implications possibles pour la liberté d'information ou la liberté d'expression. Selon le compromis, un utilisateur pourrait ainsi demander que ses données soient effacées ou qu'elles ne soient plus utilisées, si l'objectif pour lequel elles sont traitées n'a plus de lien avec l'objectif que l'utilisateur avait consenti au départ.
En ce qui concerne le marketing direct, les utilisateurs devraient avoir le droit de s'y opposer et être au préalable clairement informés de ce droit. Pour les utilisations ultérieures des données pour des « intérêts dits légitimes » de l'entreprise, les utilisateurs doivent aussi pouvoir contester cette utilisation, l'entreprise devant alors prouver que ses intérêts sont supérieurs aux droits fondamentaux de la personne en question, indique le compromis.
La vie des entreprises devrait elle être facilitée en vertu de ce compromis. Les PME devraient en effet n'être obligées d'employer un contrôleur de la protection des données que dans des cas précis, si la protection des données est le coeur de leur métier par exemple. Les PME s'inquiétaient notamment du coût de cette mesure initialement proposée par Mme Reding. « La notification préalable à l'autorité de contrôle est abolie (cela représentait un coût de 130 millions d'euros par an: ndlr) et les obligations qui incombent aux entreprises sont modulées en fonction du risque potentiel pour la vie privée que peuvent présenter les activités de l'entreprise en question », explique, pour sa part, la Présidence luxembourgeoise. Les notifications de violations graves des règles de protection des données restent, elles, obligatoires et doivent être signifiées dans les 72 heures à l'autorité de contrôle comme aux utilisateurs concernés.
Autre nouveauté: avec le principe du one-stop-shop, les entreprises n'ont qu'un interlocuteur, à savoir l'autorité de protection des données du pays où elles ont leur siège social. C'est aussi avec cette autorité qu'elles doivent traiter en cas de contentieux. Les entreprises actives dans plusieurs marchés européens ne devront d'ailleurs plus faire face à plusieurs décisions potentiellement contradictoires.
En ce qui concerne l'échange de données entre autorités policières et judiciaires, la directive prévoit que les règles s'appliquent « aussi bien au traitement transfrontière des données à caractère personnel qu'au traitement de ce type de données par les autorités policières et judiciaires au niveau strictement national ». Le texte rend possible un « transfert de données personnelles par les autorités compétentes à des entités privées selon des conditions spécifiques » ; cela, en cas d'événements terroristes ou d'urgence. La directive donne aussi le droit aux autorités policières de limiter l'information sur les données qu'elles détiennent ou l'accès aux données traitées. Les autorités policières ne pourront « ni confirmer ni infirmer si elles disposent de données personnelles afin de ne pas compromettre les investigations en cours ». EUROPE y reviendra. (Solenn Paulic)