[su_pullquote align=”right”]Par Gregory Voss[/su_pullquote]
La réforme lancée en 2012 par l’Union européenne (UE) en vue d’assurer un haut niveau de protection des données à caractère personnel pour les citoyens des 28 pays membres verra-t-elle le jour en 2017 ? C’est possible, mais il reste encore à trouver un accord entre le Parlement européen, le Conseil de l’UE et la Commission européenne : c’est la phase du trilogue.
Depuis juin 2015, ces trois institutions de l’UE négocient pour parvenir à un texte unique, le Règlement général sur la protection des données (RGPD). Il existe encore des points de désaccord entre le Parlement et le Conseil, en particulier sur l’obtention du consentement individuel concernant le traitement des données personnelles, les droits et devoirs des collecteurs de données, le montant des amendes en cas d’infraction.
Dès 2012, la Commission européenne a proposé une nouvelle législation sur la protection des données à caractère personnel. Mais ce texte voté par le Parlement européen le 12 mars 2014, attend désormais d’être validé par le Conseil de l’UE. Cette réforme permettra de protéger les citoyens européens et leurs données personnelles même pour les entreprises transnationales responsables du traitement des données via Internet dont le siège ne se trouve pas dans l’UE. Si le niveau de protection des données personnelles en Europe est en général élevé, le niveau des sanctions financières est trop bas, contrairement à ce qui se passe aux Etats-Unis.
Dès que les trois instances de l’UE se seront mises d’accord sur un projet de texte, celui-ci ne pourra être adopté qu’après deux lectures consécutives du même texte par le Parlement, directement élu par les citoyens, et le Conseil qui réunit les gouvernements des 28 états membres. Une fois adopté (sans doute en 2016, même si certains penchent pour une adoption fin 2015), il deviendra applicable dans les deux années suivant l’adoption.
Ce RGPD harmonisera le droit européen et pourrait avoir pour autre atout d’engager un processus d’harmonisation du droit international en matière de protection des données personnelles vers le haut. Par ailleurs, la réduction du fardeau administratif grâce à ce seul texte de loi permettra d’économiser 2,3 milliards d’euros par an, selon les calculs de la Commission.
Le processus peut sembler long mais il convient de rappeler qu’il a fallu 5 années pour négocier la Directive européenne de 1995 sur la protection des données à caractère personnel. Pour le RGPD nous n’en somme qu’à 3 ans et demi, il reste donc de la marge.
Le RGPD fait l’objet d’un intense travail de lobbying par les représentants des responsables du traitement des données. Ces derniers, même s’ils ralentissent le travail législatif, peuvent jouer un rôle légitime en informant le législateur sur les réalités des sociétés collectrices de données.
Depuis l’affaire Snowden, la réforme législative a connu de nombreux soubresauts. Edward Snowden, ancien consultant de la CIA et membre de la National Security Agency (NSA), révélait en juin 2013, que le gouvernement des Etats-Unis avait collecté auprès de 9 géants américains des nouvelles technologies des informations à caractère personnel au sujet de personnes vivant hors des Etats-Unis, notamment dans le cadre d’un programme de surveillance électronique appelé PRISM. Dès le 21 octobre 2013, le Parlement européen proposait un texte dans lequel une des dispositions stipulait que « le responsable du traitement ou le sous-traitant informent […] la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs ». Cette disposition est de toute évidence influencée par l’affaire PRISM.
En général, les affaires liées à la protection des données stimulent le débat sur la vie privée en Europe, même si elles ont ébranlé la confiance entre l’UE et les Etats-Unis. Ainsi, le 6 octobre 2015, dans une affaire sur le transfert des données d’un citoyen autrichien aux États-Unis par la filiale de Facebook en Europe, la Cour de justice de l’UE (CJUE) a invalidé les Principes de la sphère de sécurité (Safe Harbor Principles) qui permettaient un tel transfert. En cas de menaces sur la sécurité des Etats-Unis, une clause permettait aux autorités étatsuniennes d’accéder aux données personnelles des Européens. La CJUE a tout naturellement suivi les conclusions de l’avocat général suite à l’annonce de la décision de la CJUE qui selon lui, « pose un problème pour les plus de 4000 sociétés américaines et européennes qui dépendent des Safe Harbor Principles pour transférer des données à caractère personnel aux États-Unis ». Reste à voir les actions que les institutions et les entreprises européennes et américaines vont engager suite à cette décision.
D’un autre côté, même en l’absence d’un RGPD, l’affaire Google Privacy Policy, révèle que les Etats membres de l’UE ont à leur disposition des outils pour contraindre le moteur de recherche à respecter la vie privée et les données à caractère personnel. Ainsi, après plusieurs injonctions, les autorités de surveillance de la protection des données personnelles d’Allemagne d’Espagne, de France, d’Italie, des Pays-Bas et du Royaume Uni ont prononcé à l’encontre de Google des sanctions, notamment des amendes de plusieurs centaines de milliers d’euros. Même si ces pénalités sont relativement peu élevées par rapport au chiffre d’affaires annuel de Google (59 milliards d’euros en 2014), elles annoncent des mesures coercitives plus sévères basées sur le chiffre d’affaires de l’entreprise sanctionnée dans le projet de législation européen.
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est en désaccord avec Google sur le déréférencement suite à la décision Google Spain de la CJUE. Depuis la reconnaissance de ce droit par le tribunal, en 2014, toute personne peut demander à un moteur de recherche d’effacer les résultats apparaissant en cas de requête à partir de son nom. Conséquence: Google a reçu plusieurs dizaines de milliers de demandes de citoyens français. Elle a donc procédé au déréférencement de certains résultats sur les extensions européennes du moteur de recherches (.fr ; .es ; .co.uk ; etc.). Mais elle n’a pas procédé au déréférencement sur les autres terminaisons géographiques ou sur google.com, consultable par tout internaute. En mai 2015, la CNIL a mis en demeure Google de procéder au déréférencement sur tous les noms de domaine. Mais Google fait valoir que cette décision constitue une atteinte au droit à l’information du public et donc une forme de censure. Un rapporteur sera sans doute nommé pour trouver une solution.
Pendant que l’Union européenne tente d’arracher un texte commun sur la protection des données personnelles, les états comme la France continuent de renforcer leur arsenal législatif. Le gouvernement a ainsi présenté le 26 septembre 2015 un projet de texte soumis à l’avis du public pour une « République numérique » : une trentaine d’articles portant sur le secret des correspondances électroniques, la portabilité des fichiers, le libre accès aux données publiques. La consultation des citoyens dans l’élaboration du document est une procédure intéressante dont il conviendra de suivre l’évolution.
[su_note note_color=”#f8f8f8″]Par Gregory Voss et les articles « European Union Data Privacy Law Developments », publié dans The Business Lawyer (volume 70, number 1, Hiver 2014-2015), « Looking at European Union Data Protection Law Reform Through a Different Prism : the Proposed EU General Data Protection Regulation Two Years Later », publié dans Journal of Internet Law (volume 17, number 9, mars 2014) et « Privacy, E-Commerce, and Data Security », publié dans The Year in Review, publication annuelle de ABA/Section of International Law (Printemps 2014), co-écrit avec Katherine Woodock, Don Corbet, Chris Bollard, Jennifer L. Mozwecz, et João Luis Traça.[/su_note]
[su_box title=”Applications pratiques” style=”soft” box_color=”#f8f8f8″ title_color=”#111111″]L’impact du RGDP pour les entreprises va dépendre du texte final adopté par l’UE. Ce qui est certain c’est qu’il y aura une plus grande responsabilisation des entreprises qui gèrent les données. Certaines entreprises vont sans doute devoir créer des postes de délégué à la protection des données (DPD) sur le modèle du Correspondant Informatique et Libertés (CIL) en France. Des entreprises spécialisées dans l’impact des juridictions en matière de protection de la vie privée vont également voir le jour. Il conseille donc aux chefs d’entreprises d’effectuer une veille législative en matière de protection des données personnelles afin de se conformer à la législation dès que celle-ci entrera en vigueur. Il suggère de sensibiliser les employés par des formations sur la protection des données personnelles. Enfin, les entreprises devront mettre en place des procédures adéquates pour se conformer à la législation sur la protection des données à caractère personnel, y compris celles qui permettront les notifications qui seront requises par le RGDP des violations de données à caractère personnel.[/su_box]
[su_spoiler title=”Méthodologie”]Pour rédiger ses articles sur la législation en matière de protection des données à caractère personnelle, j’ai analysé de nombreux documents juridiques ainsi que « des centaines de pages de propositions, d’amendements, d’avis » émanant surtout des travaux du G29, le groupe de travail indépendant de l’UE sur le traitement des données à caractère personnel. Dans ses articles, je mets en perspective les propositions des instances européennes pour l’adoption d’un RGPD et offre des conseils pratiques pour les entreprises. J’ai également examiné l’évolution des positions des différentes instances européennes, Commission européenne, Parlement, Conseil de l’UE et a étudié les réactions du législateur suite aux révélations d’Edward Snowden en matière de surveillance électronique..[/su_spoiler]